内核编程学习笔记(005) “天空很蓝”的5个教训

最新推荐文章于 2022-07-06 15:22:31 发布
最新推荐文章于 2022-07-06 15:22:31 发布
阅读量2.7k 收藏
点赞数
分类专栏: 内核驱动编程学习 文章标签: 编程 attributes object hook 工具 游戏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/piaojieChen/article/details/6343098
版权

某游戏的双开驱动虽然说是简单,本人在做这个工具的时候,蓝屏死机了n次,为了自己的电脑着想,特此把经验给记录下来。

①寄存器没有平衡或平衡写错,低级错误打自己嘴巴。

②页面保护欺骗逻辑与运算写错,低级错误。

and eax,not 00010000h

or eax,00010000h

③对于SSDT里的Nt函数 整个操作系统都随时有可能会调用到,并不是只有自己心目中某程序想的时候才会用,就像NtCreateMutant,开始hook了后随便写,结果天空很蓝,这就是为什么要做过滤了(天真的我还想直接把这个函数返回一个空值,其中什么都没有做,真的很危险啊)。

SSDT hook在还原前切勿卸载驱动,由于函数代码是在驱动上的,不还原又卸载了,不好意思天空很蓝,SSDT表中指向的函数系统找不到了,就像④里说的NtCreateMutant,系统经常会调用来创建互斥对象。

⑤空指针

NtCreateMutant 里面有这么一个 parameter 

IN POBJECT_ATTRIBUTES ObjectAttributes

WDK帮助里:

typedef struct _OBJECT_ATTRIBUTES {

  ULONG  Length;

  HANDLE  RootDirectory;

  PUNICODE_STRING  ObjectName;

  ULONG  Attributes;

  PVOID  SecurityDescriptor;

  PVOID  SecurityQualityOfService;

} OBJECT_ATTRIBUTES, *POBJECT_ATTRIBUTES;

typedef CONST OBJECT_ATTRIBUTES *PCOBJECT_ATTRIBUTES;

ObjectName这一项可以做一个判断来做过滤。

本人想都没想直接

DbgPrint("ObjectName %wZ/r/n",ObjectAttributes->ObjectName);

一秒种不到,蓝屏,好了,天空很蓝啊

Access violation - code c0000005 (!!! second chance !!!) 
ssdtHookP!MyNtCreateMutant+0xb: 
f8dcc41b 83780800        cmp     dword ptr [eax+8],0  

eax0

就是说ObjectAttributes->ObjectName本来就是空指针

所以要判断!

if(ObjectAttributes->ObjectName) 

天空依然很蓝很蓝~~

事实上就这样写就行了if(ObjectAttributes)就可以过滤了,试了n次,教训啊

对于返回结果:

#define STATUS_OBJECT_NAME_EXISTS ((NTSTATUS)0x40000000L)

#define STATUS_SUCCESS ((NTSTATUS)0x00000000L)

ntstatus.h真的好东西,一个头文件就可以看出所有返回的nt状态了

之前看到的xor eax, eax 就是强制返回 STATUS_SUCCESS。

piaojieChen
关注
专栏目录
HyperLynx(二十)DDR(三)DIMM、DD2、DDR3、DDR4和DDR5介绍
小幽余生不加糖
09-12 9379
1.DIMM介绍 2.DDR2介绍 3.DDR3介绍 4.DDR4介绍 5.DDR5介绍1.DIMM介绍 之前老说到DDR和SDRAM,提到过DIMM,那么什么是DIMM呢?DIMM是指针脚插槽,也就是物理结构方面的分类;而SDRAM和DDR都是内部技术方面的分类。SDRAM:Synchronous Dynamic Random Access Memory,同步动态随机存储器。 而DDR(Double Data Rate)系列,严格意义上讲,应该是Double Data Rate SDRAM内存,也就是和说
CSAPP 并发编程 ——深入理解计算机系统
Eternitykc的博客
06-01 695
12.3 基于线程的并发编程 到目前为止,我们已经看到了两种创建并发逻辑流的方法。 在第一种方法中,我们为每个流使用了单独的进程。内核会自动调度每个进程. 而每个进程有它自己的私有地址空间,这使得流共享数据很困难。 在第二种方法中,我们创建自己的逻辑流,并利用 I/O 多路复用来显式地调度流。因为只有一个进程,所有的流共享整个地址空间。本节介绍第三种方法——基于线程,它是这两种方法的混合。 线程(thread)就是运行在进程上下文中的逻辑流。在本书里迄今为止,程序都是由每个进程中一个线程组成的。但是现代系统
不受更新影响的微信PC客户端N开补丁
清风徜徉,悠闲品茶
04-04 593
效果 方案 1. 微信PC端通过ntdll的NtCreateMutant来创建互斥对象,达到全局单例的目的 2. 由于微信PC端更新非常频繁,且客户端上有校验,不适宜直接改写二进制文件 3. 通过CreateProcess传入CREATE_SUSPENDED创建微信进程且挂起 然后通过远程注入Dll,Hook里面ntdll的NtCreateMutant接口,让其任何时候都返回0(ST...
内核编程学习笔记(004) 对某某游戏的驱动双开的分析及其学习
飘之境界_puztion
04-23 3098
<br /><br />目前网络游戏,由于外(和谐)挂盛行,在游戏中加了很多很多的防护校验,我们耳熟能详的有TP,NP,HS,xtrap,apex等,在游戏加载前都可以看到它们的身影。<br /><br /><br /><br />作为一个初学内核驱动的菜鸟,看着高手们辗压各种驱动保护,心里真的是羡慕妒嫉恨啊。不过,现在还是要打好基础为最重要。先还是实现一个简单的驱动双开吧~<br /><br /><br /><br />某游戏要实现双开,说难不难,说容易不容易,主要是有一条技术分界线,那就是ring0级的
Windows NT内核函数大全
qq_42577465的博客
06-06 1682
Nt内核函数大全 NtLoadDriver服务控制管理器加载设备驱动. NtUnloadDriver服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice加载新驱动文件. NtQueryIntervalProfile返回数据. NtSetIntervalProfile指定采样间隔. NtStartProfile开始取样. NtStopProfile停止采样...
Nt内核函数原型and中文
dengjiatao9832的博客
09-21 549
NtLoadDriver 服务控制管理器加载设备驱动. NtUnloadDriver 服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice 加载新驱动文件. NtQueryIntervalProfile 返回数据. NtSetIntervalProfile 指定采样间隔. NtStartProfile 开始取样. NtStopProfile 停止...
7.互斥体
My classmates
10-28 1776
为什么要有互斥体:等待对象被遗弃 互斥体(MUTANT)与事件(EVENT)和信号量(SEMAPHORE)一样,都可以用来·进行线程的同步控制。 但需要指出的是,这几个对象都是内核对象,这就意味着,通过这些对象可以进行跨进程的线程同步控制,比如: A进程中的X线程与B进程中的Y线程,它们可以共同使用一个内核对象来进行线程同步控制。 极端情况: 如果B进程的Y线程还没有来得及调用修改SignalS...
"基于Linux的C语言编程内核导读:学而不思则惘,思而不学则怠
该书的撰写初衷是整理作者平时的学习笔记,并通过一位老友的建议,将这些精彩的想法整理出来供大家共享。书中引用了孔子的名言“学而不思则惘,思而不学则怠”,强调了学习与思考的重要性,并分享了在学习Linux操作...
Unix哲学学习笔记
xiajian2010的专栏
07-23 3490
语句摘录: Preface 知识和专能差异巨大,凭借知识可以推断该做什么,而专能可以让你在无意见,条件反射似的把事情做好。 少一些技术,多一些共享文化:显见和显微的,直观和潜流的,不止与方法,更重乎理念。 场景:哲学和历史;设计:哲学原理细分为有关设计和实现;工具:Unix提供的工具;社群:人与人之间的事物和约定。 须弥不重,芥子不轻;Unix程序员的教养。 构成文化是人,获知文化的方
多线程锁详解之【互斥量】
qq492927689的博客
07-06 554
更多的锁介绍可以先看看这篇文章:多线程锁详解之【序章】正文: 互斥量,一个应用起来跟临界区十分相似的锁,但互斥量是可以命名的,可以跨进程使用,而临界区只能在单个进程内使用,效率方面互斥量往往也比临界区要低,这是什么原因导致的呢?让我们先来学习一遍互斥锁的源码,再讨论上面提出的问题。源码: 先来看看互斥锁是如何创建的: 如果你已经看过了事件对象的创建过程,就会发现互斥锁创建的过程是如此的熟悉。这里我们不过多赘述这个函数的流程是做了写什么了,都是一些三板斧动作。主要是讲述一些与其他锁对象不同的地方。首先是函数名
漫谈兼容内核之十六:Windows的进程间通信
周寅的专栏
03-13 2517
 对于任何一个现代的操作系统,进程间通信都是其系统结构的一个重要组成部分。而说到Windows的进程(线程)间通信,那就要看是在什么意义上说了。因为正如“Windows的跨进程操作”那篇漫谈中所述,在Windows上一个进程甚至可以“打开”另一个进程,并在对方的用户空间分配内存、再把程序或数据拷贝过去,最后还可以在目标进程中创建一个线程、让它为所欲为。显然,这已经不只是进程间的“通信”,而是进程间
Windows进程间通信(二)
gaodezheng的专栏
04-22 744
2. 信号量(Semaphore)学过操作系统原理的读者想必知道“临界区”和“信号量”、以及二者之间的关系。如果没有学过,那也不要紧,不妨把临界区想像成一个凭通行证入内的工作场所,作为对象存在的“信号量”则是发放通行证的“票务处”。但是,通行证的数量是有限的,一般只有寥寥几张。一旦发完,想要领票的进程(线程)就只好睡眠等待,直到已经在里面干活的进程(线程)完成了操作以后退出临界区并交还通行证,才会
关于Hook CreateMutex
weixin_34324081的博客
01-08 760
我是个驱动新手,最近学习破解多开。经过一个通宵的百度和摸索,简单的多开kugou用以下代码可以了。 MyNtCreateMutant( OUT PHANDLE MutantHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, ...
NT 函数原型
lei35151的专栏
11-15 4336
NTSYSAPI NTSTATUS NTAPI NtAcceptConnectPort( OUT PHANDLE PortHandle, IN PVOID PortIdentifier, IN PPORT_MESSAGE Message, IN BOOLEAN Accept, IN OUT PPORT_VIEW ServerView OPTIONAL, OUT PREMOTE_P
NT 内核函数原型大全
weixin_30390075的博客
09-21 660
NTSYSAPINTSTATUSNTAPINtAcceptConnectPort(OUT PHANDLE PortHandle,IN PVOID PortIdentifier,IN PPORT_MESSAGE Message,IN BOOLEAN Accept,IN OUT PPORT_VIEW ServerView OPTIONAL,OUT PREMOTE_PORT_VIEW Clie...
[分享]浅析QQ炫舞6开挂
crashMaker的博客 - 匠心,一种坚持的倔强
09-28 1605
[原创]浅析QQ炫舞6开挂转载:https://bbs.pediy.com/thread-116205.htm偶去年在网上看到有一些“大牛”代练QQ炫舞,还上传了视频,个人感觉挺酷的,他用的是六开挂,售价还不菲(200RMB),老婆一狠心就买了下来( 哎…也太鄙视她老公了) 真是倒霉透了,只要一在我的电脑上运行就哦….估计是释放了驱动,而驱动导致系统崩溃,二话不说,PEiD查壳..UP
【转】【原创】某超级模块中游戏双开功能实现
weixin_34104341的博客
05-07 400
【转】某超级模块中游戏双开功能实现 超级模块中有个双开功能,能够双开腾讯的大部分游戏,例如DNF。于是就下载模块下来分析了一下。随便在网上找一个用超级模块写的双开工具。然后OD载入,下bpDeleteFileA断点。为什么要下deleteFile断点,而不是CreateFile,是因为该模块注册驱动文件后就会将驱动文件删除。下了断点之后点击启动双开的时候,OD断下。查看堆栈,可以看到写出的驱动...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值