【驱动保护】某P的内存降权

上游戏打开CE发现在CE中对游戏没有内存操作权限（没有图标）

打开PChunter查看Object钩子发现某P有对进程句柄权限回调的钩子

方式1：直接摘除回调
结果：黑屏重启
方式2：回调入口处写ret
结果：黑屏重启
看样子都有保护普通的方法肯定是不行了跟进去看一下回调函数的情况吧

函数非常简单观察它的汇编代码我们发现它其实是循环调用某一个表里面的函数

表头
FFFFF88007E3913C        48:8D1D 95C70700        lea    rbx, [rip+7C795]
FFFFF88007E3913C+7C795=FFFFF88007EB58D1
表尾
FFFFF88007E39154        48:8D05 9DC70700        lea    rax, [rip+7C79D]
FFFFF88007E39154+7C79D=FFFFF88007EB58F1
这个表最多能保存(FFFFF88007EB58F1-FFFFF88007EB58D1）/8=4 个函数

好了现在第三种思路来了我们来清空这个表

打开Win64AST
使用它自带的Kernel Explorer来编辑内核内存

输入dq FFFFF88007EB58D1查看表头情况

有16字节的数据我们输入kms指令对其清空

表已经成功清空虚拟机也没有黑屏重启我们看一下CE的情况

CE已经能正常看到dnf的ico图标
尝试读取一下内存但是 ce内的数据仅仅存在一段时间然后数据变为“??”
打开YDArk
经过研究发现CE仅仅在打开进程几秒内有权限几秒后权限被降权

方式3：清零回调表
结果：读写权限仅存在几秒几秒后被降权
曾在看雪论坛看到过一篇帖子
[原创]某南极动物厂新版XX分析——系统线程部分（新瓶旧酒）
里面有这样一段内容

AllProcessCommonCheckThread：

对PID为16~0x40000的所有进程枚举句柄表
如果句柄ObjectType==*PsProcessType且拥有该句柄的进程不是受保护的游戏进程且进程句柄指向的进程是受保护的游戏进程
则进行句柄降权

看样子就是某P的线程搞的鬼我们直接dump下来驱动内存拉进IDA里面分析
根据帖子的内容我们搜索立即数0xFFFFFFEF

得到一个结果


.vmp2:000000013F4F29C0                 call    sub_13F4FB860
.vmp2:000000013F4F29C5                 cmp     [rsp+48h+arg_0], rax
.vmp2:000000013F4F29CA                 jnz     short loc_13F4F29D7
.vmp2:000000013F4F29CC                 mov     eax, [rsp+48h+var_28]
.vmp2:000000013F4F29D0                 and     eax, 0FFFFFFEFh
.vmp2:000000013F4F29D3                 mov     [rsp+48h+var_28], eax
.vmp2:000000013F4F29D7
.vmp2:000000013F4F29D7 loc_13F4F29D7:                          ; CODE XREF: sub_13F4F28D0+FA↑j
.vmp2:000000013F4F29D7                 mov     eax, [rsp+48h+var_28]
.vmp2:000000013F4F29DB                 not     eax
.vmp2:000000013F4F29DD                 mov     rcx, [rsp+48h+arg_10]
.vmp2:000000013F4F29E2                 mov     ecx, [rcx+8]
.vmp2:000000013F4F29E5                 and     ecx, eax
.vmp2:000000013F4F29E7                 mov     eax, ecx
.vmp2:000000013F4F29E9                 mov     rcx, [rsp+48h+arg_10]
.vmp2:000000013F4F29EE                 mov     [rcx+8], eax
.vmp2:000000013F4F29F1
.vmp2:000000013F4F29F1 loc_13F4F29F1:                          ; CODE XREF: sub_13F4F28D0+CA↑j
.vmp2:000000013F4F29F1                 xor     eax, eax
.vmp2:000000013F4F29F3                 test    eax, eax
.vmp2:000000013F4F29F5                 jnz     loc_13F4F28E8
.vmp2:000000013F4F29FB
.vmp2:000000013F4F29FB loc_13F4F29FB:                          ; CODE XREF: sub_13F4F28D0:loc_13F4F291E↑j
.vmp2:000000013F4F29FB                                         ; sub_13F4F28D0+73↑j ...
.vmp2:000000013F4F29FB                 mov     al, 1
.vmp2:000000013F4F29FD                 add     rsp, 48h
.vmp2:000000013F4F2A01                 retn下面这一句就是权限重新赋值的  我们直接NOP掉
.vmp2:000000013F4F29EE                 mov     [rcx+8], eax

后经过测试CE能正常读写
方式4：清零回调表+Patch
结果：无黑屏重启 CE正常读写

【驱动保护】某P的内存降权相关推荐

驱动保护进程句柄降权杀软自保游戏破图标技术原理和实现
文章目录实现效果实现原理代码实现实现效果句柄降权对抗(实现破游戏图标和关闭杀软自保) 降权对抗延伸游戏降权对抗杀软自保对抗隐藏Object钩子回调完整代码实现效果效果如图所示: ...
易语言x64驱动保护防检测破解注入内存读写(支持win7win10全系统)
现在很多游戏会检测工具,辅助, 如果我们对工具或者辅助进行保护起来,也像游戏一样阻止各种操作访问检测, 就可以让游戏检测不到避免封号. 或者防止同行盗取自己辅助里的数据信息,破解自己的辅助等行为! b ...
最新零基础C++逆向辅助+过驱动保护+lua
最新零基础C++逆向辅助+过驱动保护+lua 地址:资源共享吧最新零基础C++逆向辅助+过驱动保护+lua-资源共享吧-专业共享VIP视频最新零基础C++逆向辅助+过驱动保护+lua https: ...
如何网络推广浅析网站优化的过程中首页降权了该怎么办？
如何网络推广中网站排名优化就是为了让网站能更受欢迎,能吸引到更多的流量,进而促进网站的效益等,并且首页的优化在整个网站优化过程中也是非常重要的,有时候就会引起优化人员的过度重视,从而造成了过度优化,导 ...
INLINE HOOK过驱动保护的理论知识和大概思路
INLINE HOOK过驱动保护的理论知识和大概思路,简单驱动保护就是简单的HOOK掉内核API的现象找到被HOOK的函数的当前地址在此地址处先修改页面保护属性然后写入5个字节.5个字节就是一个简单 ...
过 DNF TP 驱动保护（一）
文章目录: 01. 博文简介: 02. 环境及工具准备: 03. 分析 TP 所做的保护: 04. 干掉 NtOpenProcess 中的 Deep InLine Hook: 05. 干掉 NtOpe ...
记一个linux内核内存提权问题
前些天,linux内核曝出了一个内存提权漏洞.通过骇客的精心构造,suid程序将print的输出信息写到了自己的/proc/$pid/mem文件里面,从而修改了自己的可执行代码,为普通用户开启了一个带 ...
网站的权重怎么计算以及网站降权的分析处理方法
到目前百度还是没有承认网站权重这一说法,但是大家都心知肚明的,网站的权重还是衡量一个网站的标准,网站的权重肯定也是越高越好,网站的权重高,所代表的流量就高,收录也好.那么网站出现不稳定被降权的该怎么办 ...
nginx降权及匹配php
1.nginx降权 1.1 capabilities的介绍与运用 1.2 用普通用户启动nginx 1.3 root用户权限赋予 1.4 查看普通用户的nginx权限 1.5 查看nginx的欢迎网页 ...

【驱动保护】某P的内存降权

【驱动保护】某P的内存降权相关推荐

最新文章

热门文章