常用游戏分析工具之 PChunter 及 procexp 使用心得

常用游戏分析工具

之 PChunter 及 procexp 使用心得

目录
一、PC Hunter 功能简介… 1
二、Process Explorer 功能简介 … 2
三、魔域突防实例分析 … 3

一、PC Hunter 功能简介

PC Hunter 是一款方便易用的手工杀毒工具。该软件其实有着功能齐全的 windows 系统信息查看内容，不但可以查看各类系统的信息，也支持找到电脑中存在的病毒木马，让你的系统得到最佳保护。
PC Hunter 功能特点：
1.进程、线程、进程模块、进程窗口、进程内存信息查看，杀进程、杀线程、卸载模块等功能
2.内核驱动模块查看，支持内核驱动模块的内存拷贝
3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Nsiproxy、Tdx、Classpnp、Atapi、Acpi、SCSI、IDT、GDT 信息查看，并能检测和恢复 ssdt hook 和 inline hook
4.CreateProcess 、 CreateThread 、 LoadImage 、 CmpCallback 、 BugCheckCallback 、 Shutdown 、 Lego 等近 20 多种 Notify Routine 信息查看，并支持对这些 Notify Routine 的删除
5.端口信息查看，目前不支持 2000 系统
6.查看消息钩子
7.内核模块的 iat、eat、inline hook、patches 检测和恢复
8.磁盘、卷、键盘、网络层等过滤驱动检测，并支持删除
9.注册表编辑
10.进程 iat、eat、inline hook、patches 检测和恢复
11.文件系统查看，支持基本的文件操作
12.查看（编辑）IE 插件、SPI、启动项、服务、Hosts 文件、映像劫持、文件关联、系统防火墙规则、 IME
13.ObjectType Hook 检测和恢复
14.DPC 定时器检测和删除
15.MBR Rootkit 检测和修复
16.内核对象劫持检测

二、Process Explorer 功能简介

Process Explorer 是一款增强型的任务管理器，你可以使用它方便地管理你的程序进程，能强行关闭任何程序(包括系统级别的不允许随便终止的“顽固”进程)。除此之外，它还详尽地显示计算机信息：CPU、内存使用情况，DLL、句柄信息，很酷的曲线图… 此为最新版，原版、汉化均有较多改进，签名验证、DEP 等新的东西
1. 查看进程相关信息
启动 procexp.exe 后,我们可以在你需要查看的进程上右键>属性查看,也可以直接双击或点击工具栏上方的手势按钮,打开后我们可以看到程序的路径,参数,线程等等信息

此处我们可以查看一个进程的文件版本,加载线程,网络连接等各方面信息,其中有个比较有用的功能是校验程序的真伪.
我们知道目前网络上病毒猖狂,伪造的或者被人修改的系统文件比比皆是,在这么多文件里面我们根本难以区分哪些文件真正属于微软原版文件,指不定一个外表看上去微软得不能再微软的程序,实际上跟微软一点关系也没有,甚至是植入了恶意程序.
当一个程序签名是微软的信息,而实际上被注入第三方线程或者干脆非微软时,软件默认会以紫色醒目提示.同时,我们可以查看该进程属性,点击"verify"按钮,程序会自动与微软提供的程序符号表校对,如果确系微软文件,将会在版本信息处标识已校验通过. 反之,如果非微软的文件,则肯定无法与微软提供的符号表相匹配,软件将会提示无法验证.如果签名信息为微软,而又无法在此处通过验证,那么此时你就要多留意此文件的安全性了.
2. 查看程序调用关系
一个程序往往由很多组件组成,程序通过各种调用关联完成一系列的功能.当然,现在的程序编写多采用标准库,查看到的也包含系统提供的相关模块.
我们可以点击工具栏上的面板按钮,也可以按快捷 ctrl+l 或者 ctrl+d,一般多用 ctrl+d,软件将自动展开程序的下级调用查看面板,我们选择一个程序,可以在下方看到相应的调用关系.
比如我要查看浏览器都加载了哪些插件,那么可以启动浏览器,然后选择浏览器进程,查看起调用的所有动态链接库.可能大部分都是微软的公司签名,那么我们可以点击公司名称标签排序,这样就可以快速地筛选出非微软的程序了.当然,纯粹公司名是可以任意伪造的,要验证真伪请参考前文.
在进程调用关系上,我们经常可以用于定位某些弹窗软件.
我们经常会发现右下角多出个小窗,小窗内播放着各种诱惑的东西,这种广告多如牛毛,还不知道是谁弹的,那么此功能就派上用场了.

左键点住工具栏上的雷达图标(一般是最后一个),拖到弹出的小窗上再松开,程序自动定位到窗口程序,其程序间的父子关系一目了然,父进程就是罪魁祸首了,该怎么办您自己看着办.
3. 查找文件占用其实是查看程序调用功能的延伸,本身程序能检查到各个文件之间的相互调用关系,那么就很好理解此功能的来源了.
我们平常可能会经常用到 unlock 这种工具删除被占用的文件,原理也类似,我们可以利用 procexp 查找占用,然后将占用的程序结束掉再删文件,就不用装 unlock 了. 有一种程序一启动就会占用的文件,此时我们可以将进程结束,然后点击菜单>file>run/save 等功能任意选一个,打开 windows 的对话框,在此找到要删除的文件,右键能看到 explorer 下一样的菜单,将文件删除即可.

三、魔域突防实例分析

魔域在启动的时候，都会事先运行一个天晴安全防御。通过 procexp，我们可以看到这时候，魔域所调用的 DLL 及模块是全部看不见得，这时候，我们就可以通过 PcHunter,来把天晴安全防御相关功能给禁用，来达到突防的效果。
1.首先在 PChunter 中，我们查看 System 中是否有进行相关调用。
2.在进程选项卡，右键 System，查看进程线程，这时候出现 202 个进程线程

3. 把模块按首字母排序，我们从上往下查找，看看有什么是和天晴安全防御或者魔域相关的模块。可以发现有一个模块名叫 TQHOOK（天晴 HOOK 的缩写）。我们右键它，把它给暂停，为什么不强制结束呢，因为这是在系统进程中调用的，强制结束可能会使游戏瞬间崩溃，我们通过暂停就可以获得同样的效果。

4. 返回 procexp 中，发现仍然是处于不可见的状态。那么，我们继续使用 PChunter 往下看。
5. 打开选项卡”内核钩子”→子选项卡“内核钩子” ，可以发现这里仍然有一个 TQHOOK 相关的钩子。我们右键把它恢复

6. 继续打开旁边的“Objiect 钩子”子选项卡，我们又发现一个 TQHOOK 相关的钩子。同样的方法把它恢复。

7. 返回 procexp 中，就可以发现与魔域 soul.exe 有关的模块调用统统可以查看到了，这就说明防御被突破了通过修改被调用的 DLL，就可以添加一些辅助功能了，比如说 QA 游戏测试三处三组自主研发的天晴游戏性能检测工具。可以很好的展示游戏的内存占用以及刷新率