書き溜めたエントリなんだけど、これから更新する機会が減りそうなので進んだところまで一気にBlogに上げてしまうことにした。
願わくば、これをみて解析の道に入り込む人が増えることを。

すっかり詰んでいた解析なのだけれど、2chスレの方に動きが。

曰く、EagleNT.sysとかいうヤツを潰せばいいらしい。
また、Themidaをアンパックせずに解析する方法も教えてもらった。

これで、一歩前進か?と思いつつまずは EagleNT.sys を探す。
スレのSSDTなるキーワードを検索するうちに、フック検出ツールなるものをインストール。
ゲームを起動中に実行してみると、 EagleNT.sys がなんかのフックをかけているのを発見。
が、そんなファイルはインストールされていない。
ゲームを終えると、フックも外された。
どうやら、ゲーム起動時に読み込まれて、実体はすぐ削除されるような感じ。

また暗黒時代に突入。2~3日ぼーっと過ごす。
その後、なんとなく検索をかけた下のページを見てEagleNT.sysの所在がわかった。
https://forum.gamedeception.net/showthread.php?t=13540&page=5

ゲーム起動の延長で、EHSvc.dll が呼び出され、 EHSvc.dll は自分のリソース内から、
EagleNT.sysを作成、EagleNT.sysはサービスとしてゲームの監視を行う。
というような流れのようだ。

ResourceHacker で中を見ると BINRES に訳の判らんバイナリが入っている。
そのままだと、Themida圧縮がかかってるので、 LoadLibraryしてメモリに展開した後のリソース領域をダンプすればよさそうだ。
以前の展開に失敗した起動できない、EHSvc.dll を引っ張り出す。
ResourceHacker で リソースを保存し、EagleNT.sysにリネーム。
とりあえず、バージョン情報のプロパティを見る。
「Ahnlab HackShield KernelMode Driver 」
おぉ、それっぽい。

というわけで、今回はここまで。

2009/10/01:コメントなしろじ

コメントを残す

メールアドレスが公開されることはありません。