【驱动保护】某P的内存降权
上游戏打开CE发现在CE中对游戏没有内存操作权限(没有图标)
打开PChunter查看Object钩子 发现某P有对进程句柄权限回调的钩子
方式1:直接摘除回调
结果:黑屏重启
方式2:回调入口处写ret
结果:黑屏重启
看样子都有保护 普通的方法肯定是不行了 跟进去看一下回调函数的情况吧
函数非常简单 观察它的汇编代码我们发现 它其实是循环调用某一个表里面的函数
表头
FFFFF88007E3913C 48:8D1D 95C70700 lea rbx, [rip+7C795]
FFFFF88007E3913C+7C795=FFFFF88007EB58D1
表尾
FFFFF88007E39154 48:8D05 9DC70700 lea rax, [rip+7C79D]
FFFFF88007E39154+7C79D=FFFFF88007EB58F1
这个表最多能保存(FFFFF88007EB58F1-FFFFF88007EB58D1)/8=4 个函数
好了 现在第三种思路来了 我们来清空这个表
打开Win64AST
使用它自带的Kernel Explorer来编辑内核内存
输入dq FFFFF88007EB58D1查看表头情况
有16字节的数据 我们输入kms指令对其清空
表已经成功清空 虚拟机也没有黑屏重启 我们看一下CE的情况
CE已经能正常看到dnf的ico图标
尝试读取一下内存 但是 ce内的数据仅仅存在一段时间 然后数据变为“??”
打开YDArk
经过研究发现CE仅仅在打开进程几秒内有权限 几秒后权限被降权
方式3:清零回调表
结果:读写权限仅存在几秒 几秒后被降权
曾在看雪论坛看到过一篇帖子
[原创]某南极动物厂新版XX分析——系统线程部分(新瓶旧酒)
里面有这样一段内容
AllProcessCommonCheckThread:
对PID为16~0x40000的所有进程枚举句柄表
如果句柄ObjectType==*PsProcessType且 拥有该句柄的进程不是受保护的游戏进程 且 进程句柄指向的进程是受保护的游戏进程
则进行句柄降权
看样子就是某P的线程搞的鬼 我们直接dump下来驱动内存 拉进IDA里面分析
根据帖子的内容我们搜索立即数0xFFFFFFEF
得到一个结果
.vmp2:000000013F4F29C0 call sub_13F4FB860
.vmp2:000000013F4F29C5 cmp [rsp+48h+arg_0], rax
.vmp2:000000013F4F29CA jnz short loc_13F4F29D7
.vmp2:000000013F4F29CC mov eax, [rsp+48h+var_28]
.vmp2:000000013F4F29D0 and eax, 0FFFFFFEFh
.vmp2:000000013F4F29D3 mov [rsp+48h+var_28], eax
.vmp2:000000013F4F29D7
.vmp2:000000013F4F29D7 loc_13F4F29D7: ; CODE XREF: sub_13F4F28D0+FA↑j
.vmp2:000000013F4F29D7 mov eax, [rsp+48h+var_28]
.vmp2:000000013F4F29DB not eax
.vmp2:000000013F4F29DD mov rcx, [rsp+48h+arg_10]
.vmp2:000000013F4F29E2 mov ecx, [rcx+8]
.vmp2:000000013F4F29E5 and ecx, eax
.vmp2:000000013F4F29E7 mov eax, ecx
.vmp2:000000013F4F29E9 mov rcx, [rsp+48h+arg_10]
.vmp2:000000013F4F29EE mov [rcx+8], eax
.vmp2:000000013F4F29F1
.vmp2:000000013F4F29F1 loc_13F4F29F1: ; CODE XREF: sub_13F4F28D0+CA↑j
.vmp2:000000013F4F29F1 xor eax, eax
.vmp2:000000013F4F29F3 test eax, eax
.vmp2:000000013F4F29F5 jnz loc_13F4F28E8
.vmp2:000000013F4F29FB
.vmp2:000000013F4F29FB loc_13F4F29FB: ; CODE XREF: sub_13F4F28D0:loc_13F4F291E↑j
.vmp2:000000013F4F29FB ; sub_13F4F28D0+73↑j ...
.vmp2:000000013F4F29FB mov al, 1
.vmp2:000000013F4F29FD add rsp, 48h
.vmp2:000000013F4F2A01 retn下面这一句就是权限重新赋值的 我们直接NOP掉
.vmp2:000000013F4F29EE mov [rcx+8], eax
后经过测试CE能正常读写
方式4:清零回调表+Patch
结果:无黑屏重启 CE正常读写
【驱动保护】某P的内存降权相关推荐
- 驱动保护进程 句柄降权 杀软自保 游戏破图标技术原理和实现
文章目录 实现效果 实现原理 代码实现 实现效果 句柄降权对抗(实现破游戏图标和关闭杀软自保) 降权对抗延伸 游戏降权对抗 杀软自保对抗 隐藏Object钩子回调 完整代码 实现效果 效果如图所示: ...
- 易语言x64驱动保护防检测破解注入内存读写(支持win7win10全系统)
现在很多游戏会检测工具,辅助, 如果我们对工具或者辅助进行保护起来,也像游戏一样阻止各种操作访问检测, 就可以让游戏检测不到避免封号. 或者防止同行盗取自己辅助里的数据信息,破解自己的辅助等行为! b ...
- 最新零基础C++逆向辅助+过驱动保护+lua
最新零基础C++逆向辅助+过驱动保护+lua 地址:资源共享吧 最新零基础C++逆向辅助+过驱动保护+lua-资源共享吧-专业共享VIP视频 最新零基础C++逆向辅助+过驱动保护+lua https: ...
- 如何网络推广浅析网站优化的过程中首页降权了该怎么办?
如何网络推广中网站排名优化就是为了让网站能更受欢迎,能吸引到更多的流量,进而促进网站的效益等,并且首页的优化在整个网站优化过程中也是非常重要的,有时候就会引起优化人员的过度重视,从而造成了过度优化,导 ...
- INLINE HOOK过驱动保护的理论知识和大概思路
INLINE HOOK过驱动保护的理论知识和大概思路,简单驱动保护就是简单的HOOK掉内核API的现象 找到被HOOK的函数的当前地址在此地址处先修改页面保护属性然后写入5个字节.5个字节就是一个简单 ...
- 过 DNF TP 驱动保护(一)
文章目录: 01. 博文简介: 02. 环境及工具准备: 03. 分析 TP 所做的保护: 04. 干掉 NtOpenProcess 中的 Deep InLine Hook: 05. 干掉 NtOpe ...
- 记一个linux内核内存提权问题
前些天,linux内核曝出了一个内存提权漏洞.通过骇客的精心构造,suid程序将print的输出信息写到了自己的/proc/$pid/mem文件里面,从而修改了自己的可执行代码,为普通用户开启了一个带 ...
- 网站的权重怎么计算以及网站降权的分析处理方法
到目前百度还是没有承认网站权重这一说法,但是大家都心知肚明的,网站的权重还是衡量一个网站的标准,网站的权重肯定也是越高越好,网站的权重高,所代表的流量就高,收录也好.那么网站出现不稳定被降权的该怎么办 ...
- nginx降权及匹配php
1.nginx降权 1.1 capabilities的介绍与运用 1.2 用普通用户启动nginx 1.3 root用户权限赋予 1.4 查看普通用户的nginx权限 1.5 查看nginx的欢迎网页 ...
最新文章
- 转【红帽GFS集群文件系统配置指南】
- 干货!用 Python 快速构建神经网络
- python中的logging日志
- c语言垂直制表的作用,c语言中“\”的用途
- 图---Dijstra
- HTML-通知公告Tips
- hdu 4302 STL multiset
- 后端:Java 8 中的 Map 实用操作,学习下!
- DedeCMS自定义表单制作和调用办法
- 润乾报表 - 细节问题
- TreeSet有序集合
- 分布式存储系统设计的关键问题
- 关于input type=hidden/标签的记录
- 【学习笔记】matlab进行数字信号处理(三)数字滤波技术
- 迭代最近邻ICP算法
- 绝地反击显示服务器,绝地反击
- python实现网页爬虫_python实现页面爬虫(selenium,pyppeteer)
- webgl中顶点着色器的varying变量,使用方法。
- ubuntu桌面美化mac_教程:为你的linux桌面带来Mac OS Mojave的体验
- 【neutron源码分析】neutron-server启动流程分析
热门文章
- Python语言更适合低代码开发平台
- 第三章:odoo12开发之模型 -结构化应用数据
- 解决 Error querying database. Cause: java.sql.SQLException: sql injection violation....
- linux—常用gdb调试命令汇总
- 奥运英语[5] 很高兴再次见到你 Good to see you again.
- 鲁大师2021牛角尖奖最强性能手机揭晓,小米12 Pro拿下大奖
- python固定效应模型_熊猫或stats模型的固定效应
- 人脸检测:RetinaFace(开源简化版)详细解读
- Star CCM+ 案例 - 旋风分离器 (cyclone separator)-3 模拟设置
- js实现谷歌网站统计