在应用层调试驱动程序 vgk.sys

最新推荐文章于 2024-05-17 09:53:08 发布
最新推荐文章于 2024-05-17 09:53:08 发布
阅读量1.8k 收藏 2
点赞数 1
分类专栏: 调试 windows inners 文章标签: windbg 调试 VMProtect
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pureman_mega/article/details/121399776
版权

***以下记录如何在应用层调试驱动程序vgk.sys,以及调试过程中获得的一些数据。

 

1,如何让vgk.sys 在应用层跑起来?

vgk.sys 是某游戏反作弊程序的一部分,是一个驱动文件;本文调试的vgk.sys 版本是1.0.0.3,64位。正常情况下,驱动程序需要在ring0环境中运行。但是vgk.sys 经过混淆虚拟化处理了,windbg双机调试/交互会很慢。之前在其他论坛上有人提起:可以在ring3调试驱动文件。于是,我就试了试。

 首先,看一下驱动程序和普通程序文件之间的相同点与不同点(大部分情况下):

相同点                                                                不同点

有一个入口函数 :DriverEntry/main                     驱动加载是会校验CheckSum

有导入表                                                             DriverEntry的参数类型是固定的,main可以变化

PE结构                                                                SubSystem(子系统),驱动是Native,应用程序                                                                              是console

                                                                            DllCharacteristics(文件属性),驱动程序更严格,                                                                              有 Code Intergrity Image 

vgk.sys的SubSystem和DllCharacteristics,如下图

 ntdll.dll的SubSystem和DllCharacteristics,如下图:

 知道了,驱动程序和应用程序之间的联系,就可以大胆的尝试:写个普通的PE加载器来运行vgk.sys,然后用WinDbg调试。

然后,vgk.sys 文件的处理:

    *清除OptionalHeader中CheckSum

    *将SubSystem设置为console

    *去掉Code Integrity Image属性

    *去掉导入表

     *去掉签名信息

最后,处理后vgk.sys 被加载到内存中,并调用其入口函数DriverEntry(DriverObject,RegistrPath),参数由应用程提供。后续的调试过程相当于模拟了一个ring0环境,各种数据都得有应用层提供了。

2,调试过程中相关的细节

好不容易把驱动程序跑起来了,接下来又要面对VMProtect。能力有限,无法写出反虚拟化程序,只能硬干。

VMProtect 处理后的代码如下:

(这简直不是人看到,让WinDbg看吧) 

一个handler,winDbg单步调试,按f10,按了一天才走完。VMProtect 防护确实厉害。这个版本里面,到目前为止发现了10个handler.各个handler内部结构有点类似(还需要深入研究)。如下图:

    

 handler内部用的非常多的跳转(jmp 指令),人肉去跟踪,基本不现实。控制流转移相关代码片段:

push+retn

 jmp register

   调试的过程中会遇到大量的内存访问异常(0xc0000005,access violation),这些地方都是关键点,会提供许多有用的信息;通过修改相应的寄存器值,使程序能够继续运行(保证逻辑正常)。

 ***###@@@¥¥¥%%%^^^&&&((()))___+++===---

vmprotect 使用了大量的花指令,使得ida 反汇编出错误的逻辑代码

   可以看到上图中,1到5的位置都是没有实际意义的花指令,这是经过人为设置后,ida 反汇编得到的结果。如果不进行设置,花指令的效果如0x1405c7a9b开始的代码可以看出,无法识别真正的逻辑;call handler6 前面应该是一个push 指令。手动设置后,如下图:

 

3,调试过程中获得到的一些数据:

   vgk.sys 前期会进行运行环境的检查,获取系统时间,系统目录等,会动态获取大量api地址;后期逻辑还没分析(不过看到api列表,对后面的逻辑应该有个大致掌握)。静态的导入函数截图如下:

 动态获取api函数列表如下:

KdDebuggerNotPresent
KdDebuggerEnabled
KdEnteredDebugger
PsProcessType
PsThreadType
MmUserProbeAddress
MmSectionObjectType
PsInitialSystemProcess
ExCreateCallback
KdChangeOption
ObfDerefenceObject
PsGetProcessDebugPort
PsCreateSystemThread
PsTerminateSystemThread
KeStackAttachProcess
KeUnStackDetachProcess
PsLookupProcessByProcessId
PsGetThreadId
ObOpenObjectByPointer
ObRegisterCallbacks
PsSetCreateProcessNotifyRoutine
PsSetCreateProcessNotifyRoutineEx
PsSetLoadImageNotifyRoutine
PsRemoveLoadImageNotifyRoutine
PsIsProtectedProcess
IoCreateSymbolicLink
PsGetProcessPeb
ZwLoadDriver
MmGetPhysicalMemoryRanges
MmGetPhysicalAddress
ZwQueryVirtualMemory
MmMapMemoryDumpMdl
ZwQueryInformationFile
ZwCreateSection
ExEnumHandleTable
ObGetObjectType
ExAcquireFastMutex
ExReleaseFastMutex
IoGetCurrentProcess
ZwClose
ZwQueryObject
ZwWaitFOrSingleObject
PsGetProcessImageFileName
ZwQuerySystemInformation
RtlInitUnicodeString
RtlFreeUnicodeString
ZwOpenKey
InitializeSListLink
FirstEntrySLint
ExpInterlockedPopEntrySList
ZwQueryInformationProcess
PsGetProcessWow64Process
KeInitializeApc
KeInsertQueueApc
KeTestAlertThread
RtlGetVersion
ZwCreateFile
ZwDeviceIoControlFile
KeDelayExecutionThread
ZwReadFile
IofCompleteRequest
IoDeleteDevice
IoDeleteSymbolicLink
IoRegisterShutdownNotification
IoUnregisterShutdownNotification
ExfUnblockPushLock
PsGetProcessId
PsGetProcessSectionBaseAddress
ZwQueryValueKey
IoCreateDevice
ZwWriteFile
IoGetInitialStack
PsLookupThreadByThreadId
IoGetDeviceObjectPointer
KeInitializeEvent
IoBuildDeviceIoControlRequest
IofCallDriver
ObfReferenceObject
RtlEqualUnicodeString
IoALlocateMdl
MmProbeAndLockPages
MmMapLockedPageSpecifyCache
MmProtectMdlSystemMdl
MmUnlockPages
IoFreeMdl
MmUnmapLockedPages
ExInitializeRundownProtection
ExWaitForRundownProtectionRelease
ExAcquireRundownProtection
ExReleaseRundownProtection
PsGetProcessSessionId
KeSetEvent
ExAcquierSpinlockExclusive
ExAcquireSpinLockShared
ExReleaseSpinLockExclusive
ExReleaseSpinLockShared
ExTryConvertSharedSpinLockExclusive
PsGetProcessExitProcessCalled
ObReferenceObjectByHandle
ZwMapViewOfSection
ZwUnmapViewOfSection
ZwOpenSection
ZwMakeTemporaryObject
KeIniGenericCall
KeReadStateTimer
KeInitializeTimer
KeSetTimer
KeCancelTimer
CmRegisterCallbackEx
CmUnRegisterCallback
ObQueryNameString
ZwSetValueKey
ZwDeleteValueKey
RtlStringFromGUID
swprintf_s
RtlInitAnsiString
RtlAnsiStringToUnicodeString
ExRegisterCallback
ExUnRegisterCallback
RtlDuplicateUnicodeString
RtlRandomEx
KeAreAllApcDisabled
HalPrivateDispatchTable
MmFreeContiguousMemorySpecifyCache
MmAllocateContigousMemorySpecifyCache
SeLocateProcessImageName
ZwTerminateProcess
ZwDisplayString
RtlAreBitsSet
RtlSetBits
KeQueryPriorityThread
KeSetPriorityThread
IoCreateFileEx
CiFreePolicyInfo
CiCheckSignedFile
CiVerifyHashInCatalog
BCryptOpenAlgorithmProvider
BCryptGetProperty
BCryptCrateHash
BCryptHashData
BCryptFinshHash
PsIsProtectedProcessLight
PsReleaseProcessExitSynchronization
ObFindHandleForObject

pureman_mega
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用WinDbg双机调试SYS无源码驱动程序
qq_38474647的博客
12-29 181
背景 有很多学习逆向的小伙伴,逆向一些用户层的程序很熟练了,但是由于没有接触过内核驱动开发,所以对于驱动程序的逆向无从下手。 对于驱动程序调试可以分为有源码调试和无源码调试。本文主要讨论无源码驱动程序调试,也就是逆向驱动程序的方法和步骤。本文演示的是使用 VMware 虚拟机和 WinDbg 程序实现双击调试。 ...
驱动下的异常处理
weixin_30270889的博客
12-06 122
try-except用法   try except是windows 系统独有的异常处理模型,windows的异常处理模式,称为SEH( structured exception handling ), SEH的异常处理模型主要由try-except语句来完成,与标准的try catch相似。与C++异常处理模型使用catch关键字来定义异常处理模块,而SEH是采用__except...
ByePg:利用异常钩子击败Patchguard的开源利器
最新发布
gitblog_00050的博客
05-17 249
ByePg:利用异常钩子击败Patchguard的开源利器 项目地址:https://gitcode.com/can1357/ByePg 项目介绍 ByePg是一个创新的开源项目,它通过劫持HalPrivateDispatchTable表来创建早期bugcheck钩子,以此在Windows内核中实现了一种全新的攻击面——异常基础钩子。这个工具不仅能够收集关于异常的信息,还提供了一个简单的接口,让你...
win10驱动开发10——异常处理
qq_41610493的博客
12-05 967
驱动内存异常 ProbeForRead 判断内存是否可读 ProbeForWrite 判断内存是否可写 ExRaiseStatus 指定状态代码触发异常 ExRaiseAccessViolation 触发STATUS_ACCESS_VIOLATION异常(访问异常) ExRaiseDatatypeMisalignment 触发STATUS_DATATYPE_MISALIGNMENT异常(数据类型异常) 注意不要通过触发异常告诉你的调用者你在普通执行状态中的信息,你完全可以返回
使用sys接口来调试驱动
Android开发
09-04 2835
调试cyttsp4驱动时,发现sys接口非常有用,便将相关的代码抽取出来。  代码如下sys.c #include #include #include #include #include #include #define DEVICE_NAME "select" static struct miscdevice poll_dev; ssize_t sys_read(struc
win7下一次加载和调试sys驱动程序的过程以及捕捉到内核打印字符串函数的输出
bcbobo21cn的专栏
01-05 543
这是以前做的; 构建出一个.sys驱动以后,用工具加载,然后查看内核打印函数DbgPrint或KdPrintEx的输出; 工具网上都有; 有些选项要设置; 加载和调试、捕获的过程;并不是每次都会加载sys驱动成功;有兴趣自己操作; 捕获到了内核打印函数的输出;KCKJ ......,这字符串是内核打印函数输出的; 有兴趣自己研究;一般来讲驱动没问题不会蓝屏,有问题可能发生蓝屏; ...
vgk2014_git_hw
04-01
在这个项目中,我们看到一个名为“vgk2014_git_hw-master”的文件,这通常表示它是Git仓库的主分支,即“master”分支,表明包含了一系列的提交历史和项目文件。 在Git中,版本控制的核心概念包括: 1. **仓库...
Vanguard:官方Vanguard反作弊源代码
04-01
先锋队官方Vanguard反作弊源代码。使用编译后的二进制文件为简便起见,提供了不受保护。 下载的。 运行“安装(以管理员身份运行)... 确保已安装并正在运行vgk.sys。 如果您已经是VALORANT播放器,则会自动为您设置。
vgk-discord-bot:这个不和谐的机器人可以跟踪服务器中每个频道的玩家自定义昵称,并允许您使用修饰符掷出许多骰子。 该代码基于LilithTheSuccubus在其MIT许可下的pap-discordbot
05-16
在配置文件中设置机器人令牌并运行节点应用程序。 请享用!!! 有关安装的更多详细信息,请检查“ 。 目前,该机器人仅供那些对如何设置不和谐的机器人和处理node.js有基本了解的人使用。特征: 跟踪特定频道中...
Linux系统下创建LV(逻辑卷)并挂载加在线扩展lv.pdf
09-02
在Linux操作系统中,LVM(逻辑卷管理)是一种灵活、可扩展的磁盘管理方式,尤其适合于需要在线扩容的生产环境。...在实际应用中,理解并熟练掌握这些步骤对于优化服务器资源、应对存储需求变化至关重要。
Vanguard-Toggler:通过命令提示符打开和关闭先锋队(勇士防tic)以在RING 0访问下没有运行
03-07
通常,只有操作系统核心组件和关键驱动程序运行在此级别,以保证系统的稳定性和安全性。反作弊软件如先锋队为了有效检测和防止作弊行为,可能需要在RING 0运行,但这也可能导致系统性能下降或其他软件冲突。 ...
Windows驱动中使用数字签名验证控制设备访问权限
时空之中的灵魂
12-03 1302
在一般的驱动开发时,创建了符号链接后在应用层就可以访问打开我们的设备并进行通讯。但我们有时候不希望非自己的进程访问我们的设备并进行交互,虽然可以使用 IoCreateDeviceSecure 来创建有安全描述符的设备,但大数的用户账户为了方便都是管理员,因此该方法不太完整。
Retrieving MmPhysicalMemoryBlock regardless of the NT version.
10-15 1449
 Here is a method I’m using in the next version of Win32DD (1.2), to retrieve MmPhysicalMemoryBlock regardless of the NT Version. The main problem with KDDEBUGGER_DATA64 structure is the version dep
进程挂靠后使用PsGetCurrentProcessId获取的进程ID不准
Sven的忘却日记
06-01 1796
如题,在使用KeStackAttachProcess挂靠到目标进程后,又调用了一系列子函数,此时并没有把EPROCESS传进去。 PEPROCESS pProcess = NULL; KAPC_STATE apc; NTSTATUS status = PsLookupProcessByProcessId((HANDLE)pid, &pProcess); if (NT_SUCCESS(status)) { KeStackAttachProcess(pProcess, &apc);
Window Internal 读书笔记
weixin_34150224的博客
04-13 215
Chapter 1 Virtual Memory. The size of the virtual address space varies for each hardware platform ... The mappings of the lower half change to(change是什么意思?从句意来看应该是:mappings变成(变化/改变...
Windows串口调试通信协议KDCOM.DLL的反向分析及Asm和C源代码
aerror的专栏
09-21 7348
前段时间突然兴趣大发,把KDCOM.DLL用IDA进行了分析和阅读,并导出成asm文件,作了修改和编译使之可以编译后替换原先的kdcom.dll正常工作, 这之间最难的莫过于kdcom.dll无法进行调试和跟踪的问题了, 手段非常有限, 我暂时只知道使用一下Vmware的后门I/O port进行一些检测性的LOG,以致使由反向代码编译出的kdom.dll最终能正常工作花费了我极多的时间.事实上
获取进程命令行之四
chenhui530的专栏
01-09 4392
在此之前我已经写了3篇关于如何获取进程命令行的文章,并且都提供了完整源码,这次也不例外。 由于博客上发表的文章都是在出差之间发布的有些文章没有详细的注释,只把代码贴了出来在这里请大家谅解。以后我会尽量把注释写上让大家更好的阅读我的文章和代码。这次由于项目接近尾声有了点时间就把怎么“获取进程命令行之四”这篇文章的原理给大家说说。 其实几篇文章的原理都很简单,有的都是通过进程环境块PEB来获取进程
windows x64 vista以上系统代码完整性校验分析
ksf83ksf
01-20 874
windows x64 vista以上系统代码完整性校验分析 2011年04月18日   .text:00000001400E63EE MiResolveTransitionFault mov eax, 0C0000428h   .text:00000001400E640D MiResolveTransitionFault mov ...
memory block - Linux内存管理(5)
lwhuq的博客
07-17 2149
日期 内核版本 架构 作者 GitHub CSDN 2017-07-017 Linux-4.12 X86 lwhuq LinuxMemoryStudy Linux内存管理 1 Introduction   在Linux内核早期启动阶段,在Linux的内存管理模块还没有初始化完成之前,内

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值