[原创]游戏安全之借坡下驴
2022-5-18 05:29
11348
游戏安全之借坡下驴 exp: https://github.com/HadesW/mhy_exp
注:《借坡下驴》凭借有利的地势下驴。比喻利用有利条件行事。
0x0 简述 之前有介绍《借刀杀人》,指的是利用高权限的系统进程。这次《借坡下驴》,是利用了某游戏本身的驱动保护程序。
此文主要是记录分析某款游戏驱动保护的r3-r0通讯算法。因为文章整理于作者2020年10月份左右的笔记,有点流水账,分析和利用的样本大概是2020年8月-9月份左右的。
样本文件详情如下:
文件名:xxxxxxxx.sys
大小: 1269880 bytes
修改时间: 2020年9月29日, 12:27:38
0x1 结构分析 最开始,作者只是简单的关注了此驱动读写任意进程的功能。所以这里自底向上分析,通过基本的内核API分析其参数,然后查看其调用方如何把IoBuffer解析传入。
分析完后,其进程读写函数大概如下:
// 使用以下内核函数跨进程读写
NTSTATUS
MmCopyVirtualMemory(
IN PEPROCESS FromProcess,
IN CONST VOID *FromAddress,
IN PEPROCESS ToProcess,
OUT PVOID ToAddress,
IN SIZE_T BufferSize,
IN KPROCESSOR_MODE PreviousMode,
OUT PSIZE_T NumberOfBytesCopied
) 第一层调用:
第二层调用:
第三层调用:
dispatch call : 定位到读写IO码
最后的进程读写结构:
// read write process memory
typedef struct _rwpm_data
{
uint32_t is_write;
uint32_t padding;
uint64_t pid;
uint64_t dst;
uint64_t src;
uint64_t size;
}rwpm_data, * p_rwpm_data; 0x2 通讯分析 当时我有了读写结构之后,去做了demo调用,发现其通讯的数据是有加解密的,并且很多函数是有VMP过的。所以这里用动静结合的方式来还原算法。
1. 双机调试,下断其入口处,patch掉其反调试。
2. 定位其加解密Key初始化,下断单步,结合IDA观察传入数据的变化。
3. 根据一些经验猜测函数大概功能。
4. 还原初始化部分
5. 还原加解密部分
6. 用std::mt19937_64()重写加解密
0x3 功能分析 这里只给部分功能分析完后的结果:
1. 检测调试信息
2. 遍历进程模块信息
3. 强制结束进程
4. 获取线程信息
5. 获取进程信息
6. 获取驱动信息
7. 读取内核内存
8. 保护自身回调
9. 自保护(访问权限)
0x4 简单利用 1. 干掉杀毒软件后,运行RAT。
2. 读写系统进程 和 Hook检测(csrss.exe / lsass.exe / explorer.exe)
3. 读写保护进程(透视)
注:图中数据取自20220517日,游戏版本号6.0.4
【看雪培训】《Adroid高级研修班》2022年夏季班招生中!
最后于 2022-5-18 10:41
被HadesW编辑
,原因:
上传的附件: