eagleNt.sys引发的蓝屏
今天看到了两次熟悉的XP蓝屏,却是以前从未见到过的蓝屏提示,是eaglent.sys文件引起的。第一反应是系统有问题,第二反应是不是系统问题,从没见过Windows有过这样一个文件。第三反应是中毒了。
于是赶快上网去搜索,总算有了点眉目,总算不是病毒(不用重做系统了)。原来是所谓的“安博士网游反外挂”的一个文件。安博士?没听说过,继续查,是韩国的——真他妈烂。害得我虚惊一场。
下面是查到的资料:
资料来源:http://post.baidu.com/f?kz=158919466
HackShield使用了同样的自动更新方式,也利用设备驱动获得控制权,驱动程序EagleNT.sys(NT系统)动态生成,不需要磁盘上保留程序文件。HackShield在所有进程中注入的模块为EGRNAPx2.dll,API的拦截方式与Game Guard也有所不同。除了实现API监控外,EagleNT.sys还接管了NTOSKERNAL中的系统服务函数:NtOpenProcess, NtOpenSection, NtReadVirtualMemory, NtWriteVirutalMemory, NtSuspendThread, NtTerminateThread等,目的是阻止各种用户级和核心级调试工具,也可以更有效地防范外挂读写游戏内存。HackShield同样也实现了对外挂进程和模块的特征码扫描。与Game Guard的服务端认证类似,HackShield提供”服务器连动防止外挂”,即客户端定时地根据服务端的请求返回正确的响应以验证客户端模块不被篡改,同样这种请求-响应包含了部分对客户端程序的完整性检查,但与游戏过程还是没有什么联系。HackShield还注册了一个WH_DEBUG钩子,估计是用于检查阻止其他消息钩子,但对于底层键盘钩子并无效果。
根据前面的介绍,Game Guard和HackShield都使用了大量的底层技术,据HackShield的演示文档,HackShield、HackShield Pro和Game Guard在技术运用上的差异如下:
项 目
HackShield
(H)
HackShield Pro
(HP)
Game Guard
(I)
适用技术
User Mode 10%
Kernel Mode 90%
User Mode 40%
Kernel Mode 60%
User Mode 90%
Kernel Mode 10%
即HackShield使用了更多的底层尤其是核心驱动技术,带来的后果就是兼容性下降,HackShield在Windows 2003上无法启动。HackShield Pro的改进在于降低了内核技术的比例,并增加了服务端的检测内容。
