逆向分析某VT加持的无畏契约纯内核挂

最新推荐文章于 2024-05-08 10:43:57 发布
最新推荐文章于 2024-05-08 10:43:57 发布
阅读量903 收藏 13
点赞数 28
分类专栏: 逆向 软件开发 协议开发 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jmm18363027827/article/details/138172982
版权
逆向 同时被 3 个专栏收录
31 篇文章 8 订阅
订阅专栏
协议开发
31 篇文章 24 订阅
订阅专栏
软件开发
23 篇文章 1 订阅
订阅专栏

前言

最近玩JD上头但是被各路挂壁打的头大,偶然看到隔壁群友发的村瓦挂壁赛直播,起了逆下看看的念头。
 

0dde5ba6e2f259f21f2857d49fed7e08.png


 

f7fb8e1673523456d3d9718ef7d88aaa.png


 

24e096b4765ddd087df0581a600992fb.png


遂顺着网线一路找到了发卡网,拿到了本次逆向的主角。
 

c6abca2666fe947476de219972dae3fc.png


 

587238faa7fe53e88d88a9e749fdd291.png


貌似不简单阿,不过“易语言程序”这几个字了怎么没了???

3328973437f2ae292c6c33c034dcc9b6.png

分析阶段

网络验证及外壳程序

38d5ac9d0d301bbac50729fd63629d8a.png


经典E语言程序配VMP,想必代码肯定是运行时解密的,直接运行dump拖IDA一条龙。
 

dca9400ac19800c8fb8aee429833671b.png


这里推荐一下fjqisba老哥的E-Decompiler,运行插件之后看到了熟悉的易语言函数。

直接搜下4D 5A 90能看到有两个结果:

b6177338c8d371aa697db0308d18636a.png

据我所知易语言开发通常会把PE文件当作图片资源存放在易语言资源里面,而资源的数据区上面的DWORD就是数据大小。

51dc46521eb46eba8deb71ac4a98cec6.png

按这个规律可以直接dump出两个PE文件:
 

28814f661dead32a9d9aabb257bb6329.png


 

d613101df47c76da7a45ea0baedf1d5e.png


可以看到存在易语言资源中的两个PE文件都是驱动程序,想必这就是包含作弊功能的驱动了,按顺序先分析第一个位于0x004C09A8位置的程序。

5b2b207d721b586ea56e927b9c993747.png

Mapper

标准的WDF驱动,直接跟进DriverInit里面:
 

a4859db128c22f0eff168dd31ae41f89.png


 

c30ac50d1ec205acce79aa0069916106.png


 

74820aa8dd3ec679c9afeac14ce34182.png


感谢皮总和养猪哥提供的KDDEBUGGER_DATA_OFFSET。
很经典的自删除、清空PiDDBlock、PiDDBCacheTable以及KernelHashBucketList用来隐藏驱动加载过的痕迹,不敢说跟kdmapper一模一样,只能说有个八分像。
还有一些像系统版本、PteBase等等的初始化操作,同时可以看出驱动是走的IoControl与用户层通讯,符号链接是TpSafe。
下面进IoControl的派遣函数看看:
 

69e383c3ad386c5baf678ed55c553637.png


 

0285305108acd823222c399d270e7b17.png


用户层DeviceIoControl的Buffer中传递了一个用来被Map的驱动文件,通过用户层程序也可以看出这一结果。
 

786fd6f0298d46eb6ead7fec1b1492c3.png


MapDriverThreadProc里面无非一些拉伸PE、修复导入重定位的操作,内存是通过MmAllocateIndependentPages申请的;这里不再赘述,想看的朋友可以自己逆向看。

28caa05ab0266ab1d2135683bbea9a8c.png

功能驱动(VT加持)

76c6ae19f0189cefc972eb889ffa7f00.png


 

e176a1498e138e09ab7b22ab8e9706da.png


上来就是vmcall、vmresume,虚拟化技术驱动的歪瓜。。。太卷了。
 

705ff54f2890787211c19ffb1e01019f.png


DriverEntry直接进了VM,看来常规方法逆不动了。
 

357fbb3b7fe2798924953921362b9c63.png


字符串里有脏东西嗷,直接xref追一下
 

0679aee41dc3b1bb1d1d9c77347f89e6.png


他Hook了AXE-BASE.sys的某个函数(就是AXE自己的CreateHook),特征搜一下看看
 

0d85f941d000d947f3f32c211f79b0e4.png


 

07c8a12db14b7049fff37ac67de9472c.png


好家伙,它直接Hook了它的Hook;幸好之前分析过一部分BASE,今天正好派上用场。

再xref看下CreateEptHook的调用:

af6d717025e203b5bb2f02e35c7512d0.png

大致Hook了MmIsAddressValid、MouseClassServiceCallback、KiPreprocessFault、NtCreateSection、PspExitProcess、MmCopyMemory、RtlWalkFrameChain这几个内核函数。

bf4f224c6329617aaf24535d94ddba41.png

拦截MmIsAddressValid和MmCopyMemory实现隐藏内存,参数中的虚拟地址/物理地址包含驱动模块所在内存区域时返回失败。

a4dd650fa83af047e26812e10f447b9c.png

拦截RtlWalkFrameChain对抗栈回溯,当调用者回溯的堆栈中包含驱动模块所在内存区域时抹除堆栈信息。

0d76e4f58dc33f93e8b1437fe986f90b.png

拦截NtCreateSection并过滤特定文件,当文件句柄对应的文件名称为“APEX_Clothing_x64.dll”时调用者即为游戏进程,随即进行初始化。
 

7779ede014de6b89139b51577de83b16.png


初始化操作(ShadowBreakPoint即“无痕”软件断点):

2a4d31d1a206df9fa414aa0961b01bf5.png

拦截PspExitProcess以便于在进程退出时卸载EPT Hook并关闭外挂功能等待下一次游戏启动。

e1fa4306bc9c9bcb1325d01d0a13c500.png

拦截MouseClassServiceCallback获取鼠标输入信息以及向系统注入鼠标输入:

2bbe53bb4ed571e1764fe8eb1f2c798f.png

拦截KiPreprocessFault接管操作系统中的所有异常,当异常代码为0x80000003 (EXCEPTION_BREAKPOINT) 并且异常地址为预设位置时执行对应操作。
 

39177765a9c129900c31ac318c3edc27.png


 

ae7b806d49cc7c3adc6ee9df91733a22.png


 

b27b223b55888bb79d34c1e2f2566c71.png


对照上面的ShadowBreakPoint可以断定两个用户模式的Hook点分别位于DWM和游戏进程,外挂驱动在用户层通过EPT技术绕过游戏的内存完整性校验写入了“无痕”的0xCC(int3)然后在内核层的KiPreprocessFault接管掉自身设置的软件断点并分别进行辅助绘制和操作游戏数据的功能。

绘制部分

内核DWM+ImGui

3174910c8c60156b48bd03a4b86d3efe.png


 

3fa78cb8376746dd5da6d2b648aee186.png


 

22b6102eed6951cdd06552a2b54946cb.png


部分函数识别的不是很准确,大概过程即通过特征搜索dwmcore.dll!PostSubgraph、dxgi.dll!CDXGISwapChainDWMLegacy::PresentDWM、 dxgi.dll!CDXGISwapChain::PresentDWM并设置隐形软件断点进行挂钩,初始化必要数据。
随后在Detour函数中初始化ImGui,其中的用户模式调用类似DoubleCallBack
 

dabfc226b65f5f7de454c9fb33598fae.png


 

552915c02c2ce7fefaec891098a3bc88.png


内核DWM的具体分析参考 [原创]记一次仿写一个内核DWM绘制

功能部分

第一次调用时会初始化游戏窗口句柄,窗口位置/大小、客户区位置等信息。
 

fd193a53d06c88d403db012d07ad0403.png


话说为啥不直接调用NtUserFindWindowEx。。。

通过GetForegroundWindow判断游戏窗口置顶时启动作弊功能,绘制信息(画框、画线、画字)通过ImDrawList传递给dwm的渲染部分:
 

2ffffcac3d674ae81c7d6c67c0060ec3.png


 

22bfc8781bd8ef2a1fe4028162a77d62.png


 

7de14777a1ae0d8e2cefd7c741977c5a.png


 

e0a52c164d96922ddff58847f808b8c1.png

d81f4a711c0737668a0a4d6ef07c0786.png

其中获取Actor位置以及屏幕坐标转换即GetActorLocation和ProjectWorldLocationToScreen是通过ProcessEvent调用游戏内的功能函数实现的,非常经典虚幻引擎操作。
 

f10615e44d0b1ab6ac5289687b336a97.png

a6da87080e13e7cc9e815597b77840c6.png

StaticFindObject

2781d6150227b075061240d2f08e4234.png


 

8df944822546a2ada2ca725c1ed37481.png


 

df111fe5fe3df5fc894abd1a88fc0153.png


经典tvm,将混淆还原过后可以看到确实是FindObject,参数也对的上。

101b9810d9c8b9cfc67cfc65f9c02a11.png

ProcessEvent

2c286e9f1c9b975cffd9c7fdc900375f.png


 

a8f4350356e027decb4d6371e5799366.png


 

5fa764f38682142fe9cd21b6b557cafe.png


 

a1457a1ad2310c59e9e7be4684daa5fd.png


不知道原本就长这样还是被混淆了。。。函数逻辑乱七八糟的。

自瞄实现:

1be54f22368294c696e5bdb0adb2d9a3.png


 

5daae402b770c324a78f4c297b5a7d90.png

1c2f21302565bac6d51fab74ab72fb5d.png

关于虚拟化技术

懂得都懂不多说,直接看代码吧
 

02e927bb1a2f92b403ea8956ca484303.png


 

bad6965b4542a3d9ff762d6a8012c14a.png


 

0c70350cb33b55e0afa7783ad2fb1705.png


 

944fa1cfc6a88a53b7f11b32fff569e2.png


 

a672ee99384b96614fde860d88010657.png


 

3a751b1ab345821c216a23dd021e2a18.png

协议算法师
关注
  • 28
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
webpack实战:某网站RSA登录加密逆向分析
吴秋霖的博客
09-12 7922
某网站登录RSA加密,深度分析webpack代码并构建完整的加密webpack代码!
广东省公共资源交易平台逆向分析
01-10
广东省公共资源交易平台逆向分析
Python爬虫:逆向分析某云音乐加密参数
热门推荐
夏小悠的博客
09-22 4万+
本篇博文通过对网易云音乐进行逆向分析,用Python代码模拟了AES和RSA加密过程,并在文章的末尾提供了一些参数,可以用这些参数来获取歌曲对应的歌词及用户的评论。
Python爬虫:逆向分析某酷音乐请求参数
夏小悠的博客
09-22 1万+
本篇博客通过对酷狗音乐的请求参数进行逆向分析,进而加深对逆向分析流程的理解。
某网站提交登陆信息加密JS逆向实战分析
吴秋霖的博客
07-14 1万+
爬虫在模拟网站登陆的过程中发现用户信息都是被加密处理的,怎么办?一个案例教你JS逆向分析加密算法
从Android设备中提取内核逆向分析
Fly20141201. 的专栏
02-25 9061
一、手机设备环境 Model number: Nexus 5 OS Version: Android 4.4.4 KTU84P Kernel Version: 3.4.0-gd59db4e 二、Android内核提取 adb shell su cd /dev/block/platform/msm_sdcc.1/by-name ls -l boot boot 是个系统符号软链
IL2CPP框架某手游逆向分析
q759451733的博客
04-09 1万+
很久没发文章了,这段时间学习了不少Android新知识,发出来学习学习,顺便总结一下。 以下内容仅供学习。 可以看出该手游是IL2CPP框架的游戏,那么在apk中肯定还有一个global-metadata.dat文件(除非加密)。 将global-metadata.dat和libil2cpp.so文件拷贝到同一个文件夹下。 使用Il2CppDumper将global-metadata.dat和libil2cpp.so进行解析,下载网站:https://github.com/Perfare/Il2CppD
逆向分析工具有哪些?
任浩的博客
01-23 4406
逆向分析工具介绍,来看看逆向分析的工具有哪些? 逆向分析工具呢在二进制代码分析的过程中是必不可少的,这些软件分析工具包括以下: 1、系统监控工具 2、反汇编器 3、调试器 4、和反汇编译器 系统监控工具用来监控,研究以及剖析 待逆向的程序,这是由于程序与外部世界的通信都要经过操作系统,系统监控工具可 以监控网络活动,文件访问,注册表访问等等一系列的软件运行活动。反汇编器足以 程序的可执行二进制代码为输入,生成包含整个或部分程序的汇编代码文本文件的程 序。 反汇编是一个与处理器相关的过程,反汇编器一般支持多种
[安全攻防进阶篇] 一.什么是逆向分析逆向分析应用及经典扫雷游戏逆向
杨秀璋的专栏
07-28 3万+
安全攻防进阶篇将更加深入的去研究恶意样本分析、逆向分析、内网渗透、网络攻防实战等。第一篇文章先带领大家学习什么是逆向分析,然后详细讲解逆向分析的典型应用,接着通过OllyDbg工具逆向分析经典的游戏扫雷,再通过Cheat Engine工具复制内存地址获取,实现一个自动扫雷程序。基础性文章,西电UI您有所帮助~
微信逆向分析(一)——逆向分析的原理
Maoning Guan的博客
06-24 3701
逆向的简单理解 正向开发,是先写代码,再编译成软件。而逆向分析,到手的只有软件。从软件入手,推测对应的代码,需要了解一下编译之后的软件是怎么跑起来的。 软件运行过程 1、软件加载到内存。 2、CPU读取内存的指令。 3、根据指令,再读取数据,进行运算。 4、运算的过程,数据是存在CPU里面的寄存器。 5、运算过程,用到另一个功能,需要保存当前环境,存到堆栈。 代码语言的变化 1、C/C++语言:高级语言,给人看的 2、汇编语言 :低级语言,给机器用的 (逆向分析,接触多是汇编语言) 软件加载过程 磁盘
JS逆向之某滑块逆向分析
weixin_47115747的博客
12-16 4285
数美滑块分析
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
IDA pro逆向工具的初步入门,此资源是针对IDA pro的功能实现的一些小案例,不仅是代码编写实现也更注重内容上的需求分析和方案设计,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
易语言逆向分析助手3.0
08-04
易语言逆向分析助手3.0
逆向分析技术查看数据123
01-17
有关逆向的文件
radare2 逆向分析软件
11-20
radare2是一款开放源代码的逆向工程平台,它可以反汇编、调试、分析和操作二进制文件。 radare2(雷达,简称r2)是个基于命令行的逆向工具,但其能力完全不亚于IDA pro。包括反汇编、分析数据、打补丁、比较数据、...
Linux生成密钥对并配置免密访问
u014516208的博客
05-07 305
先生成私钥,再生成公钥。
Linux——综合实验
Xinan_____的博客
05-07 803
> MASTER_HOST='wangA.wld.com', //主节。赋予root用户replication slave 权限。编辑一个数据库连接脚本,测试数据库是否能正常连接。创建共享目录/share_nfs。编辑nfs配置文件 设置允许ip。2.7.1.存在53端口占用。编辑自动载父目录配置文件。编辑自动载父目录配置文件。编辑自动载子目录配置文件。创建一个用户用来做主从同步。从节点同步主节点二进制文件。创建一个只做nfs的用户。解决办法:停止其他端口。为我们的应用创建一个库。
Linux】文件内容相关的命令,补充:管道符
yannan20190313的博客
05-07 1056
Linux】文件内容相关的命令,补充:管道符
rust打包编译为mac或者linux可执行文件,发送到别的电脑不能运行
最新发布
05-08 296
【代码】rust打包编译为mac或者linux可执行文件,发送到别的电脑不能运行。
逆向protobuf
09-11
逆向protobuf是指通过分析已有的序列化代码和.proto文件,来还原出protobuf协议的结构和字段信息的过程。逆向protobuf的目的是为了理解和解析这些结构,以便在逆向工程或其他领域中使用它们。 在逆向protobuf的过程中,可以通过查找url或使用hook的方式来定位.proto文件,然后对其进行分析。通过分析.proto文件,可以还原出protobuf协议中定义的消息结构、字段类型和字段名称等信息。 逆向protobuf的重要性在于可以帮助我们理解和解析使用protobuf协议进行通信的应用程序的数据格式。通过逆向protobuf,我们可以了解到应用程序中使用的消息结构和字段含义,从而可以更好地理解和分析应用程序的工作原理。 逆向protobuf也可以用于反向工程,例如在逆向工程中,我们可以通过逆向protobuf还原出应用程序的数据结构,从而更好地理解应用程序的逻辑和功能。 总而言之,逆向protobuf是一种通过分析序列化代码和.proto文件来还原出protobuf协议的结构和字段信息的过程,它可以帮助我们理解和解析应用程序的数据格式,从而更好地理解和分析应用程序的工作原理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值