-
-
[原创]游戏安全之借坡下驴
-
2022-5-18 05:29
-
游戏安全之借坡下驴
exp: https://github.com/HadesW/mhy_exp
注:《借坡下驴》凭借有利的地势下驴。比喻利用有利条件行事。
0x0 简述
之前有介绍《借刀杀人》,指的是利用高权限的系统进程。这次《借坡下驴》,是利用了某游戏本身的驱动保护程序。
此文主要是记录分析某款游戏驱动保护的r3-r0通讯算法。因为文章整理于作者2020年10月份左右的笔记,有点流水账,分析和利用的样本大概是2020年8月-9月份左右的。
样本文件详情如下:
文件名:xxxxxxxx.sys
大小: 1269880 bytes
修改时间: 2020年9月29日, 12:27:38
0x1 结构分析
最开始,作者只是简单的关注了此驱动读写任意进程的功能。所以这里自底向上分析,通过基本的内核API分析其参数,然后查看其调用方如何把IoBuffer解析传入。
分析完后,其进程读写函数大概如下:
// 使用以下内核函数跨进程读写 NTSTATUS MmCopyVirtualMemory( IN PEPROCESS FromProcess, IN CONST VOID *FromAddress, IN PEPROCESS ToProcess, OUT PVOID ToAddress, IN SIZE_T BufferSize, IN KPROCESSOR_MODE PreviousMode, OUT PSIZE_T NumberOfBytesCopied )
第一层调用:
第二层调用:
第三层调用:
dispatch call : 定位到读写IO码
最后的进程读写结构:
// read write process memory
typedef struct _rwpm_data
{
uint32_t is_write;
uint32_t padding;
uint64_t pid;
uint64_t dst;
uint64_t src;
uint64_t size;
}rwpm_data, * p_rwpm_data;0x2 通讯分析
当时我有了读写结构之后,去做了demo调用,发现其通讯的数据是有加解密的,并且很多函数是有VMP过的。所以这里用动静结合的方式来还原算法。
1. 双机调试,下断其入口处,patch掉其反调试。
2. 定位其加解密Key初始化,下断单步,结合IDA观察传入数据的变化。
3. 根据一些经验猜测函数大概功能。
4. 还原初始化部分
5. 还原加解密部分
6. 用std::mt19937_64()重写加解密
0x3 功能分析
这里只给部分功能分析完后的结果:
1. 检测调试信息
2. 遍历进程模块信息
3. 强制结束进程
4. 获取线程信息
5. 获取进程信息
6. 获取驱动信息
7. 读取内核内存
8. 保护自身回调
9. 自保护(访问权限)
0x4 简单利用
1. 干掉杀毒软件后,运行RAT。
2. 读写系统进程 和 Hook检测(csrss.exe / lsass.exe / explorer.exe)
3. 读写保护进程(透视)
注:图中数据取自20220517日,游戏版本号6.0.4
看雪招聘平台创建简历并且简历完整度达到90%及以上可获得500看雪币~
最后于 2022-5-18 10:41
被HadesW编辑
,原因:
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
这么好玩。。。是因为这个驱动自带白名单签名的原因吧 稳定无检测
|
|
|
如果mhyprot3还有问题,那以后的mhy系列驱动都不会是白名单文件,现在mhy的驱动貌似已经被几家杀软拉灰了 
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
不要怎么,就是,都泛滥了 |
|
|
|
|
|
我的评价是不如顺网读写.sys,那个才叫真·大手子,哪个函数是干嘛的都在函数入口给你log写明白咯 |
|
|
又黑我山总 |
|
|
相信自己,就是 |
