首页
论坛
课程
招聘
[原创]某南极动物厂AceXGame_sys_23.sys之InfinityHook (传统艺能copy-paste他来了)
2020-4-7 12:58 6823

[原创]某南极动物厂AceXGame_sys_23.sys之InfinityHook (传统艺能copy-paste他来了)

2020-4-7 12:58
6823
上集回顾: https://bbs.pediy.com/thread-258352.htm

从LOL玩家那边找到了不明驱动,不知道为什么笔者电脑上没有

有一说一2345也要占ifhook这个坑, 他不怕我2345的吗?

dump出来修复IAT之后

搜索一下sig,参考上集
2345Base.sys!IfhpModifyTraceSettings
Property->Wnode.Flags = WNODE_FLAG_TRACED_GUID;

C7 ?? 2C 00 00 02 00


在AceXGame里也能直接搜到,而且唯一

貌似vmp的mutant效果不太行啊,F5还是直接出结果了


根据宏定义
#define EVENT_TRACE_FLAG_SYSTEMCALL     0x00000080  // system calls
#define EVENT_TRACE_FLAG_MEMORY_PAGE_FAULTS     0x00001000  // system calls
#define EVENT_TRACE_FLAG_CSWITCH     0x00000010  // system calls

我们可以看到它可选择监控三种事件

其中Ace_CSwitchPerLogEnable没有看到xref,应该是代码写一半注释掉了

猜测是南极动物厂的人想把hook kipagefault+fake cr3换成无需passpg的套路结果发现不行于是就删了

xref Ace_SyscallPerfLogEnable能看到三个引用,其中第一个是设置开启syscall监控的,第二个就是刚刚的modifytracesettings

第三个是接管syscall的handler函数



为什么这么说呢?因为



还顺带支持vista我是没想到的




他这个获取&SyscallFunction的方法很捞啊(指没有判断StackLimit和StackHigh,而且for循环搜索慢得一)





继续xref IfhSyscallHandler可以找到GetCpuClock



继续 xrefGetCpuClock 可以找到替换函数指针的地方





再xref IfhInitialize能找到三处调用,因为没有现场环境能调试,这里猜测应该是开了线程不停重新初始化ifhook并替换指针



根据xref g_SyscallHandler能找到一处设置真实回调函数的地方





这里一看就是标准的*pointerToSyscallFunction = NewNtXXXXX

有一说一它这个如果要卸载也不是安全的

如果CPU正好执行到NewNtXXXXX+当前驱动被卸载了,前面的rundownprotect是完全保护不了它的,肯定会蓝屏了

再说说监控pagefault的部分





貌似也是代码写了一半没写了,没有看到真正使用的地方

第五届安全开发者峰会(SDC 2021)议题征集正式开启!

最后于 2020-4-7 14:59 被hzqst编辑 ,原因:
收藏
点赞3
打赏
分享
最新回复 (19)
雪    币: 196
活跃值: 活跃值 (454)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yy虫子yy 活跃值 2020-4-7 13:32
2
0
hook kipagefault+fake cr3肯定要passpg的
之前鹅厂passpg是因为开了vt,如果主板bios关掉vt的话就没得搞了
所以鹅厂的人想passpg又要顾及vt关闭的情况,这段代码应该只是个test
另外,hook xxxfault很容易造成stack overflow,特别是多核,触发频繁的情况下
不是蓝屏就是double fault,甚至triple fault
雪    币: 388
活跃值: 活跃值 (252)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
wowocock 活跃值 1 2020-4-7 13:50
3
0
基本这种是不会去卸载的,因为只要RESET 即可去除HOOK ,没必要去卸载冒着蓝屏的风险 。考虑到新版本WIN 下这种方法失效,所以也没必要折腾了,还是老老实实的VT 的好。
雪    币: 9330
活跃值: 活跃值 (1266)
能力值: ( LV5,RANK:61 )
在线值:
发帖
回帖
粉丝
Sprite雪碧 活跃值 1 2020-4-7 14:10
4
0
牛逼嗷
雪    币: 8438
活跃值: 活跃值 (850)
能力值: ( LV6,RANK:87 )
在线值:
发帖
回帖
粉丝
Lixinist 活跃值 1 2020-4-7 14:30
5
0
如果是vmp3.x的mutation,被ida完美还原也是正常的
雪    币: 701
活跃值: 活跃值 (412)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
はつゆき 活跃值 2020-4-7 14:38
6
0
这波啊,这波是
雪    币: 235
活跃值: 活跃值 (105)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
如梦而醉 活跃值 2020-4-7 15:39
7
0
这个其实是QQ三国的驱动 2333
雪    币: 111
活跃值: 活跃值 (321)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
lytywg 活跃值 2020-4-7 16:12
8
0
QQ三国有驱动保护的价值吗,还是动物厂拿QQ三国玩家来做驱动实验的小白鼠
雪    币: 125
活跃值: 活跃值 (200)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hemdacker 活跃值 2020-4-7 16:26
9
0
niuX
雪    币: 194
活跃值: 活跃值 (181)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
asd 活跃值 2020-4-7 17:07
10
0
(传统艺能copy-paste他来了) 代码也写了 版本也发了 
雪    币: 71
活跃值: 活跃值 (337)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
killpy 活跃值 2 2020-4-7 18:12
11
0
你用的是公司花钱买的的ida吗  vmp混淆一键f5 这么真实吗
雪    币: 232
活跃值: 活跃值 (92)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
云才哥 活跃值 2020-4-7 22:14
12
0
大表哥 F5玩溜的一批!6666666666
雪    币: 3130
活跃值: 活跃值 (584)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
syser 活跃值 2020-4-8 21:11
13
0
killpy 你用的是公司花钱买的的ida吗 vmp混淆一键f5 这么真实吗
VMP3.X的Mutant是废的 F5可以直接出来
雪    币: 659
活跃值: 活跃值 (126)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
mydvdf 活跃值 2020-5-27 16:33
15
0
牛逼
雪    币: 5836
活跃值: 活跃值 (799)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
黑洛 活跃值 1 2020-6-2 15:20
16
0
vmp3.x的Mutant等于没加,特别真实。 
雪    币: 686
活跃值: 活跃值 (137)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
flarejune 活跃值 2020-6-3 13:22
17
0

要不用错选项,要不用了"假货".
不用看F5,就看那些汇编指令,一看过去,全部是常用指令,人工都读起来都不费劲的,你们觉得这个是Mutant了?
说VMP3.X的Mutant是废的,我手上有几个VMP3混淆过的程序,恶心到XX好不.

最后于 2020-6-3 13:23 被flarejune编辑 ,原因:
雪    币: 686
活跃值: 活跃值 (137)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
flarejune 活跃值 2020-6-3 13:35
18
0

稍微改进下,改为整个程序就一个函数,所有CALL使用JMP来模拟.IDA连段落都分不出了.

雪    币: 131
活跃值: 活跃值 (30)
能力值: (RANK:0 )
在线值:
发帖
回帖
粉丝
看穿了说不得 活跃值 2020-6-17 14:26
19
0
不仅仅2345神奇,而且3456也很神奇.
雪    币: 138
活跃值: 活跃值 (140)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
PitWL 活跃值 2020-10-5 22:38
20
0
flarejune 稍微改进下,改为整个程序就一个函数,所有CALL使用JMP来模拟.IDA连段落都分不出了.

这个帖子指的是驱动上面的mutant,你就不要拿个exe来秀了

最后于 2020-10-5 22:47 被PitWL编辑 ,原因:
游客
登录 | 注册 方可回帖
返回