记录一次鹅厂反作弊绕过之利用回调完成异常派遣的提前接收

最新推荐文章于 2024-06-29 15:16:54 发布
最新推荐文章于 2024-06-29 15:16:54 发布
阅读量936 收藏 25
点赞数 13
分类专栏: 技术开发 文章标签: 单片机 stm32 嵌入式硬件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q2919761440/article/details/139175525
版权

研究背景:

emm...
大概半年之前鹅厂反作弊某次更新后偶然发现在调用AddVectoredExceptionHandler注册了一个异常处理函数不到几分钟就封号了,这让我产生了bypass的想法,于是在网上找了找资料还真有了思路。
下面给大家介绍具体的原理吧。

实现原理:

那段时间在网上看到一个非常有意思的尾部挂钩方法: InstrumentationCallback
在KPROCESS结构的偏移地址0x2c8处,包含一个名为InstrumentationCallback的域,Windows系统Vista以及之后的版本中,可以使用InstrumentationCallback域来指定回调函数的地址,每次函数从内核态返回用户态之后系统都会调用指定的回调函数。
至于原理大致就是以上阐述的,那么了解Windows的异常派遣机制后可以知道每次系统产生异常时会从内核返回到用户层,既然这样那么我们是不是可以通过回调在回用户层的时候先拦截派遣,调用我们的异常处理函数后再放过它回去执行原来的派遣呢?
实践出真理,那就行用来验证想法是否正确吧。

创建一个动态库项目:
定义一个Exception类后来写一个注册回调和异常函数安装的功能吧

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

bool Exception::InstallException(pfnExceptionHandlerApi p_exception_api)

{

    DWORD old;

    //获取syscall函数地址

    NtSetContextThread = (pfnNtSetContextThread)NtSetContextThreadProc;

    ::VirtualProtect((PVOID)((DWORD64)&NtSetContextThreadProc + 0x04), 4, PAGE_EXECUTE_READWRITE, &old);

    *(DWORD*)((DWORD64)&NtSetContextThreadProc + 0x04= (DWORD)GetSSDTIndexByName("NtSetContextThread");

    ::VirtualProtect((PVOID)((DWORD64)&NtSetContextThreadProc + 0x04), 4, old, NULL);

    NtSuspendThread = (pfnNtSuspendThread)NtSuspendThreadProc;

    ::VirtualProtect((PVOID)((DWORD64)&NtSuspendThreadProc + 0x04), 4, PAGE_EXECUTE_READWRITE, &old);

    *(DWORD*)((DWORD64)&NtSuspendThreadProc + 0x04= (DWORD)GetSSDTIndexByName("NtSuspendThread");

    ::VirtualProtect((PVOID)((DWORD64)&NtSuspendThreadProc + 0x04), 4, old, NULL);

    NtResumeThread = (pfnNtResumeThread)NtResumeThreadProc;

    ::VirtualProtect((PVOID)((DWORD64)&NtResumeThreadProc + 0x04), 4, PAGE_EXECUTE_READWRITE, &old);

    *(DWORD*)((DWORD64)&NtResumeThreadProc + 0x04= (DWORD)GetSSDTIndexByName("NtResumeThread");

    ::VirtualProtect((PVOID)((DWORD64)&NtResumeThreadProc + 0x04), 4, old, NULL);

    NtContinue = (pfnNtContinue)NtContinueProc;

    ::VirtualProtect((PVOID)((DWORD64)&NtContinueProc + 0x04), 4, PAGE_EXECUTE_READWRITE, &old);

    *(DWORD*)((DWORD64)&NtContinueProc + 0x04= (DWORD)GetSSDTIndexByName("NtContinue");

    ::VirtualProtect((PVOID)((DWORD64)&NtContinueProc + 0x04), 4, old, NULL);

    //保存函数指针

    this->_self_exception_api = p_exception_api;

    HMODULE ntdll = ::GetModuleHandleA("ntdll.dll");

    if (ntdll == NULL)

        ntdll = ::LoadLibraryA("ntdll.dll");

    //获取hook的返回地址

    sysret_address = (DWORD64)::GetProcAddress(ntdll, "KiUserExceptionDispatcher");

    if (sysret_address == NULL)

        sysret_address = (DWORD64)::GetProcAddress(ntdll, "KiUserExceptionDispatcher");

    rtl_restore_context_offset = this->GetOffset(sysret_address, 0x700x10);

    if (rtl_restore_context_offset <= 0)

        ::MessageBoxA(::GetActiveWindow(), "未找到函数偏移""Error", MB_OK);

    PROCESS_INSTRUMENTATION_CALLBACK_INFORMATION info;

    info.Version = 0;

    info.Reserved = 0;

    info.Callback = MyCallbackEntry;

    ULONG status = NtSetInformationProcess(GetCurrentProcess(), 0x28, &info, sizeof(info));

    if (status)

        return false;

    return true;

}

至于为什么要自己实现syscall和拿RtlRestoreContext偏移放到后面用的时候再说,这里主要是拿到KiUserExceptionDispatcher函数地址,用于回调中判断是否为我们想拦截的函数。
写一段回调的汇编:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

MyCallbackEntry PROC

    mov gs:[2E0H], rsp              ;Win10 TEB InstrumentationCallbackPreviousSp (保存的线程参数地址)

    mov gs:[2D8H], r10              ;Win10 TEB InstrumentationCallbackPreviousPc (syscall 的返回地址)

    mov r10, rcx                    ;保存rcx

    sub rsp, 4D0H                   ;Context结构大小

    and rsp, -10H                   ;align rsp

    mov rcx, rsp                    ;parameters are fun

    call __imp_RtlCaptureContext    ;保存线程Context上下文

    sub rsp, 20H                    ;开辟栈空间

    call MyCallbackRoutine          ;调用我们的函数

    int 3                           ;不应该执行到这里

MyCallbackEntry ENDP

当我们注册了回调后,内核返回应用层会首先执行我们的CallbackEntry
下面实现MyCallbackRoutine:

1

2

3

4

5

6

7

8

9

10

11

12

void MyCallbackRoutine(CONTEXT* context)

{

    context->Rip = __readgsqword(0x02D8);//syscall 的返回地址

    context->Rsp = __readgsqword(0x02E0);//context = rsp, ExceptionRecord = rsp + 0x4F0

    context->Rcx = context->R10;

    if (context->Rip == sysret_address)

        if (exception->_self_exception_api((PEXCEPTION_RECORD)(context->Rsp + 0x4F0), (PCONTEXT)context->Rsp) == EXCEPTION_CONTINUE_EXECUTION)

            context->Rip = rtl_restore_context_offset;

    NtContinue(context, 0);

}

如果rip是KiUserExceptionDispatcher地址那么我们就先调用我们注册的回调函数处理异常后判断返回值影响执行原始异常派遣流程。

上面获取RtlRestoreContext主要是因为在这里直接调用此函数达不到用户模式上下文的设置效果导致进程崩溃,所以我这里就先通过特征码定位到它在KiUserExceptionDispatcher函数中的偏移,修改rip让他返回执行到这里就正常啦!

这里的_self_exception_api类型为:typedef LONG(__stdcall* pfnExceptionHandlerApi)(PEXCEPTION_RECORD ExceptionRecord, PCONTEXT context),后面介绍这个。
到这里回调基本就跑起来了,接下来实现修改设置硬件断点(dr0-3)0-3
实现设置硬断函数:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

int Exception::SetHardWareBreakPoint(const wchar_t* main_modulename, DWORD64 dr7_statu, DWORD64 dr0, DWORD64 dr1, DWORD64 dr2, DWORD64 dr3)

{

    this->_dr0 = dr0;

    this->_dr1 = dr1;

    this->_dr2 = dr2;

    this->_dr3 = dr3;

    //遍历线程 通过openthread获取到线程环境后设置硬件断点

    HANDLE hTool32 = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);

    if (hTool32 != INVALID_HANDLE_VALUE)

    {

        THREADENTRY32 thread_entry32;                       //线程环境结构体

        thread_entry32.dwSize = sizeof(THREADENTRY32);

        HANDLE h_hook_thread = NULL;

        MODULEINFO module_info = 0 };                     //模块信息

        HANDLE target_modulehandle = GetModuleHandleW(main_modulename);

        //从 ntdll.dll 中取出 ZwQueryInformationThread

        (FARPROC&)ZwQueryInformationThread = ::GetProcAddress(GetModuleHandleA("ntdll"), "ZwQueryInformationThread");

        if (target_modulehandle != 0)

        {

            //获取模块结束地址

            GetModuleInformation(GetCurrentProcess(), (HMODULE)target_modulehandle, &module_info, sizeof(MODULEINFO));

            __int64 target_modulehandle_endaddress = ((__int64)module_info.lpBaseOfDll + module_info.SizeOfImage);

            //遍历线程

            if (Thread32First(hTool32, &thread_entry32))

            {

                do

                {

                    //如果线程父进程ID为当前进程ID

                    if (thread_entry32.th32OwnerProcessID == GetCurrentProcessId())

                    {

                        h_hook_thread = OpenThread(THREAD_ALL_ACCESS, FALSE, thread_entry32.th32ThreadID);

                        // 获取线程入口地址

                        PVOID startaddr;//用来接收线程入口地址

                        ZwQueryInformationThread(h_hook_thread, (THREADINFOCLASS)ThreadQuerySetWin32StartAddress, &startaddr, sizeof(startaddr), NULL);

                        if (((__int64)startaddr >= (__int64)target_modulehandle) && ((__int64)startaddr <= target_modulehandle_endaddress))

                        {

                            //暂停线程

                            ULONG previous_count = NULL;

                            NtSuspendThread(h_hook_thread, &previous_count);

                            //设置硬件断点

                            CONTEXT thread_context = { CONTEXT_DEBUG_REGISTERS };

                            thread_context.ContextFlags = CONTEXT_ALL;

                            //得到指定线程的环境(上下文)

                            if (!GetThreadContext(h_hook_thread, &thread_context))

                                return 3;

                            thread_context.Dr0 = dr0;

                            thread_context.Dr1 = dr1;

                            thread_context.Dr2 = dr2;

                            thread_context.Dr3 = dr3;

                            thread_context.Dr7 = dr7_statu;

                            if (NtSetContextThread(h_hook_thread, &thread_context) != NULL)

                                return 4;

                            if (!GetThreadContext(h_hook_thread, &thread_context))

                                return 3;

                            //恢复线程

                            NtResumeThread(h_hook_thread, &previous_count);

                        }

                        CloseHandle(h_hook_thread);

                    }

                while (Thread32Next(hTool32, &thread_entry32));

            }

            CloseHandle(hTool32);

            return true;

        }

        else

            return 2;//模块句柄获取失败

    }

    return 0;

}

这里逻辑比较混乱,毕竟半年前写的了...朋友们这里可以自行修改。

上面说的自己实现syscall是因为怕反作弊勾住NtSuspendThread、NtSetContextThread所以干脆自己写不过它的钩子。

另外对于操作的线程一定要排除掉自己的线程,别把自己线程给暂停了恢复不起来(#^.^#),至于设置硬断的坑朋友们自己去踏吧>.<。

到这里此Exception类基本完成了,下面在类外定义好自己的回调函数

定义自己的异常处理函数:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

LONG WINAPI ExceptionHandler(PEXCEPTION_RECORD exception_record, PCONTEXT context)

{

    //hardware breakpoint

    if (exception_record->ExceptionCode == EXCEPTION_SINGLE_STEP)

    {

        if (exception_record->ExceptionAddress == (PVOID64)exception->_dr0)

        {

            //ACE-Base64.dll + 815844 - 48 89 47 08 -   mov[rdi + 08], rax          //Hook点

            //ACE-Base64.dll + 815848 - FF 53 20 -      call qword ptr[rbx + 20]    //跳过执行

            //ACE-Base64.dll + 81584B - 48 8B 1B -      mov rbx, [rbx]

            std::cout << "caller address: " << std::hex << *(DWORD64*)context->Rsi << std::endl;

            std::cout << "callee address: " << std::hex << *(DWORD64*)(context->Rbx + 0x20) << std::endl;

            context->Rip = exception->_dr0 + 0x07;

            return EXCEPTION_CONTINUE_EXECUTION;

        }

        else if (exception_record->ExceptionAddress == (PVOID64)exception->_dr1)

        {

            return EXCEPTION_CONTINUE_EXECUTION;

        }

        else if (exception_record->ExceptionAddress == (PVOID64)exception->_dr2)

        {

            return EXCEPTION_CONTINUE_EXECUTION;

        }

        else if (exception_record->ExceptionAddress == (PVOID64)exception->_dr3)

        {

            return EXCEPTION_CONTINUE_EXECUTION;

        }

        else

        {

            context->Dr0 = exception->_dr0;

            context->Dr1 = exception->_dr1;

            context->Dr2 = exception->_dr2;

            context->Dr3 = exception->_dr3;

            return EXCEPTION_CONTINUE_SEARCH;

        }

    }

    //software breakpoint

    else if (exception_record->ExceptionCode == EXCEPTION_BREAKPOINT)

    {

    }

    return EXCEPTION_CONTINUE_SEARCH;

}

上图中注释的地方展示了我的Hook点,相信懂鹅厂家反作弊的朋友都知道是什么函数了(#^.^#)。

上面拿了Rsi寄存器,它在保存的是Caller地址
Rsp+0x20指向Callee地址。
最后附上函数调用:

1

2

3

4

5

6

7

8

9

10

11

12

exception = std::make_shared<Exception>();

exception->InstallException(ExceptionHandler);

DWORD64 ace_base_module = 0;

while (true)

{

    ace_base_module = (DWORD64)::GetModuleHandleA("ACE-Base64.dll");

    if (ace_base_module > 0x1000)

        break;

}

auto value = exception->SetHardWareBreakPoint(L"crossfire.exe"0x455, ace_base_module + 0x8158440x00x00x0);

printf("value:%d\n", value);

效果展示:

经过上面一顿折腾后来启动游戏看看效果:
 


OK,大功告成!
分析到此结束。

 

q2919761440
关注
  • 13
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
EAC反作弊绕过工具源代码_NP_dbd绕过eac_绕过np_绕过eac_np反作弊_
10-01
反作弊绕过工具.可以绕过np等大部分反作弊工具
反调试 - NtQueryInformationProcess(ProcessDebugPort,ProcessDebugFlags,ProcessDebugObjectHandle)...
墨鱼菜鸡
09-16 365
NtQueryInformationProcess 是微软 未公开 的一个 API,嗯,这个反调试的方法有一个特点就是 能过吾爱破解版OD! ,其他版本的OD没有尝试,但相信这种反调试手法可以检测大部分的第三方OD。 首先...
R3下,遍历所有进程的伪句柄表,关闭指定句柄
被遗弃的庸才博客
10-20 1535
之所以产生这个想法,是在删除文件的时候有时会提示文件被占用了,然后让我们先关闭之后在来删除,但是我怎么知道哪个进程打开了我的文件? 于是就去网上了找了一份代码然后改了改,接着来说说是怎么实现功能的。首先我们需要遍历所有的进程,所有要找到遍历进程的代码。 //遍历进程 WCHAR * szServerName = NULL; HANDLE WtsServerHandle = WTSOp...
Windows系统通用回调
whl0071的专栏
02-04 1702
本文将针对Windows操作系统所提供系统回调操作做逐一分析,以了解每个回调所能达成什么样的功能及效果。比如部分回调只是用于通知,我们只能通过此回调来了解某一类型事件的发生,只能做审计,拦截动作需要通过其它途径实现;也有回调可以实现即时拦截,通过回调即可阻止恶意程序的攻击企图。 Windows系统在内核及应用层均有提供回调机制,下面分为两部分作介绍: 1 内核回调 内核回调机制 OS版本 功能描述 备注 PsSetCreateProcessNotifyRoutine ...
Ring3下蓝屏的代码demo
Mikasys的博客
10-20 459
0x00 前言 蓝屏死机(英语:Blue Screen of Death,缩写:BSoD)指的是微软Windows操作系统在无法从一个系统错误中恢复过来时所显示的屏幕图像。 如下图所示经典的XP蓝屏 早在XP时代,大家应该经常能够看见蓝屏。处在Win10时代,Win11即将面世的今天,由于PG、各种验证机制的保护,以及MS各种漏洞补丁的修补,虽然不像之前那样漏洞百出,仍人宰割,但是还是存在着各种各样的问题,从我们今天讲的内容就可见一斑。 0x01 Ring3蓝屏的方式 简单的可以分成2类,实际上全是一类,
ClientAC_samp_eleven4zj_现代都市反作弊_
09-30
标题 "ClientAC_samp_eleven4zj_现代都市反作弊_" 暗示这是一个针对游戏 "San Andreas Multiplayer" (SAMP) 的反作弊插件。SAMP 是一款基于侠盗猎车手:圣安地列斯的游戏模组,允许玩家在多人模式下进行互动。...
Leain src修复完成_绕假矿_minecraft_shoex5w_作弊端_EndMinecraftplug_
10-04
"Leain src修复完成_绕假矿_minecraft_shoex5w_作弊端_EndMinecraftplug_" 这个标题暗示了这是一个经过修复和完善后的 Minecraft 作弊端源码,特别设计用来绕过特定的服务器反作弊插件——假矿插件(DogBan)。...
知乎反作弊系统演变
10-10
树莓派深入学习NCNN环境搭建,树莓派深入学习NCNN环境搭建
阿里妈妈流量反作弊算法实践.pdf
11-08
很好的资料,阿里妈妈流量反作弊系统资料,风控的同学可以参考下
R3 x64枚举进程句柄
zhuhuibeishadiao
05-02 5708
需要注意的是:在R3使用ZwQueryObject很容易锁死,需要放到线程中,如果线程超过500ms就说明卡死了 就只能放弃这个句柄了  这个句柄外面是一个FileObject类型,但真实是一个信号类型 还有在R3中枚举 有一个句柄我们是没有权限操作了 就是EtwRegistration类型的 如果非要解决这个问题,可以参考国外的一个开源进程管理器 ProcessHack 我的操作是判断
处理 程序异常崩溃后的善后工作
清流弯弯
07-10 1720
好像以前面试被问过,没回答出来,但一直没用到过,也就没研究。今天看了些代码,发现要实现崩溃后的处理,竟然很简单。看来很多东西只是见没见过,没见过觉得很神奇,见过了其实也没啥。要实现程序异常崩溃后的善后工作:包括当时堆栈情况-内存空间数据、是否重启登,只需要调用SetUnhandledExceptionFilter这个函数就可以了。实现:1、在程序刚启动时,设置未捕获异常的处理函数    为什么呢?...
遍历进程内存
qq_41490873的博客
11-30 988
// inject.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include<Windows.h> #include <stdio.h> #define STATUS_UNSUCCESSFUL (0xc0000001) #define STATUS_INFO_LENGTH_MISMATCH 0xc0000004 #define NT_SUCCESS(x) ((x) >= 0) typedef enum _PROCESSINFOCLAS
单片机学习(16)--直流电机驱动
最新发布
LHYYUYG的博客
06-29 427
直流电机是一种将电能转换为机械能的装置。一般的直流电机有两个电极,当电极正接时,电机正转,当电极反接时,电机反转直流电机主要由永磁体(定子)、线圈(转子)和换向器组成除直流电机外,常见的电机还有步进电机、舵机、无刷电机、空心杯电机等PWM(Pulse Width Modulation)即脉冲宽度调制频率=1/Ts占空比=ToN/Ts精度=占空比变化步距。
单片机学习(13)--AT24C02(I2C总线)
LHYYUYG的博客
06-26 1256
AT24C02是一种可以实现掉电不丢失的存储器,可用于保存单片机运行时想要永久保存的数据信息存储介质:E2PROMI2C总线容量:256字节I2C总线(InterICBUS)是由Philips公司开发的一种通用数据总线·两根通信线:SCL(SerialClock)、SDA(SerialData)同步、半双工,带数据应答。
STM32小项目———感应垃圾桶
qq_63556165的博客
06-21 2299
一个学习STM32的小白~ 有问题请评论区或私信指出提示:以下是本篇文章正文内容,下面案例可供参考超声波传感器模块上面通常有两个超声波元器件,。一个用于发射,一个用于接收。电路板上有四个引脚:VCC GND Trig(触发),Echo(回应)主要参数:工作电压与电流:5V,15mA感应距离: 2~400cm感测角度:不小于15°被测物的面积不要小于50cm并且尽量平整具备温度补偿电路局部变量初值一定不要忘记~~ 切记!!!
帮我拟一个关于反作弊在线考试系统论文的大纲
02-09
这是一个关于反作弊在线考试系统的论文大纲: 一、绪论 1.1 研究背景 1.2 研究目的 1.3 研究结构 二、现有技术 2.1 反作弊技术的发展历程 2.2 当前反作弊技术的研究现状 三、反作弊在线考试系统 3.1 系统架构 3.2...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值