【2023.10.24】使用 ObRegisterCallBack 对CE进行提权

已于 2023-10-24 16:43:20 修改
阅读量192 收藏 2
点赞数 1
分类专栏: Windows内核 文章标签: 1024程序员节
于 2023-10-24 16:41:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18120361/article/details/134015902
版权

直接贴代码

需要注意 g_PromotePid 以及 ustrAltitude 这两处需要修改一下

ustrAltitude找个ARK工具比如pchunter看一下反作弊挂的钩子层级是多少,比它低就行

#include <ntifs.h>

PVOID g_RegisterCallBackHandle = NULL;

HANDLE g_PromotePid = NULL;

VOID UnLoadDriver(PDRIVER_OBJECT pObj)
{
    if(g_RegisterCallBackHandle!=NULL)
        ObUnRegisterCallbacks(g_RegisterCallBackHandle);
	return;
}

OB_PREOP_CALLBACK_STATUS PobPreOperationCallback(
	PVOID RegistrationContext,
	POB_PRE_OPERATION_INFORMATION OperationInformation
)
{
	if (g_PromotePid == PsGetCurrentProcessId())
	{
		DbgPrintEx(0, 77, "Hero 检测到CE进程, 准备提权");

		if (OperationInformation->Operation == OB_OPERATION_HANDLE_CREATE)
		{
			OperationInformation->Parameters->CreateHandleInformation.DesiredAccess = PROCESS_ALL_ACCESS;
		}
		else if (OperationInformation->Operation == OB_OPERATION_HANDLE_DUPLICATE)
		{
			OperationInformation->Parameters->DuplicateHandleInformation.DesiredAccess = PROCESS_ALL_ACCESS;
		}
	}

	return OB_PREOP_SUCCESS;
}

//0x120 bytes (sizeof)
struct _LDR_DATA_TABLE_ENTRY
{
    struct _LIST_ENTRY InLoadOrderLinks;                                    //0x0
    struct _LIST_ENTRY InMemoryOrderLinks;                                  //0x10
    struct _LIST_ENTRY InInitializationOrderLinks;                          //0x20
    VOID* DllBase;                                                          //0x30
    VOID* EntryPoint;                                                       //0x38
    ULONG SizeOfImage;                                                      //0x40
    struct _UNICODE_STRING FullDllName;                                     //0x48
    struct _UNICODE_STRING BaseDllName;                                     //0x58
    union
    {
        UCHAR FlagGroup[4];                                                 //0x68
        ULONG Flags;                                                        //0x68
        struct
        {
            ULONG PackagedBinary : 1;                                         //0x68
            ULONG MarkedForRemoval : 1;                                       //0x68
            ULONG ImageDll : 1;                                               //0x68
            ULONG LoadNotificationsSent : 1;                                  //0x68
            ULONG TelemetryEntryProcessed : 1;                                //0x68
            ULONG ProcessStaticImport : 1;                                    //0x68
            ULONG InLegacyLists : 1;                                          //0x68
            ULONG InIndexes : 1;                                              //0x68
            ULONG ShimDll : 1;                                                //0x68
            ULONG InExceptionTable : 1;                                       //0x68
            ULONG ReservedFlags1 : 2;                                         //0x68
            ULONG LoadInProgress : 1;                                         //0x68
            ULONG LoadConfigProcessed : 1;                                    //0x68
            ULONG EntryProcessed : 1;                                         //0x68
            ULONG ProtectDelayLoad : 1;                                       //0x68
            ULONG ReservedFlags3 : 2;                                         //0x68
            ULONG DontCallForThreads : 1;                                     //0x68
            ULONG ProcessAttachCalled : 1;                                    //0x68
            ULONG ProcessAttachFailed : 1;                                    //0x68
            ULONG CorDeferredValidate : 1;                                    //0x68
            ULONG CorImage : 1;                                               //0x68
            ULONG DontRelocate : 1;                                           //0x68
            ULONG CorILOnly : 1;                                              //0x68
            ULONG ChpeImage : 1;                                              //0x68
            ULONG ReservedFlags5 : 2;                                         //0x68
            ULONG Redirected : 1;                                             //0x68
            ULONG ReservedFlags6 : 2;                                         //0x68
            ULONG CompatDatabaseProcessed : 1;                                //0x68
        };
    };
};

NTSTATUS DriverEntry(PDRIVER_OBJECT pObj, PUNICODE_STRING pReg)
{
    NTSTATUS ntStatus = STATUS_SUCCESS;
    pObj->DriverUnload = UnLoadDriver;

    DbgPrintEx(0, 77, "Hero oldFlags = %x", ((struct _LDR_DATA_TABLE_ENTRY*)pObj->DriverSection)->Flags);

    //过掉ObRegisterCallbacks的微软签名检测
    ((struct _LDR_DATA_TABLE_ENTRY*)pObj->DriverSection)->Flags = 0x20;

    DbgPrintEx(0, 77, "Hero newFlags = %x", ((struct _LDR_DATA_TABLE_ENTRY*)pObj->DriverSection)->Flags);

    //注意修改为CE的进程PID
    g_PromotePid = (HANDLE)18528;

	OB_OPERATION_REGISTRATION obOperationRegistration = { 0 };

	obOperationRegistration.ObjectType = PsProcessType;
	obOperationRegistration.Operations = OB_OPERATION_HANDLE_CREATE | OB_OPERATION_HANDLE_DUPLICATE;
	obOperationRegistration.PreOperation = PobPreOperationCallback;

	OB_CALLBACK_REGISTRATION obCallBackRegistration = { 0 };

    //这里的层级需要比游戏保护的层级低
    //可以使用ARK工具查看
	UNICODE_STRING ustrAltitude = RTL_CONSTANT_STRING(L"1000");

	obCallBackRegistration.Version = ObGetFilterVersion();
	obCallBackRegistration.OperationRegistrationCount = 1;
	obCallBackRegistration.Altitude = ustrAltitude;
	obCallBackRegistration.OperationRegistration = &obOperationRegistration;

	ntStatus = ObRegisterCallbacks(&obCallBackRegistration, &g_RegisterCallBackHandle);

	DbgPrintEx(0, 77, "Hero Status = %x", ntStatus);

	return ntStatus;
}

oalken
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
提权技术之给任意进程提权(我们以OD,CE为例)
a756598009的博客
06-22 660
赋予进程某种特殊权限 也叫提升读写权限 那么为什么要提升读写的权限呢 如果我们想修改游戏内存数据 数字的话正常情况下我们无法进行跨进程内存读写 这时候就可以使用 提升自身辅助进程的权限 来达到能读写游戏内存的效果那提权的原理又是什么呢?游戏虽然做了自身的进程保护 不允许其他进程读写 但是我们电脑系统本身就是有系统自带的进程winlogon.exe 这进程为例,这个进程是可以随意读写游戏内存的 游戏的保护也会过滤掉系统进程对自身的读写,
Windows System提权.exe
08-09
可以给window 软件 以System 权限运行 例如ce
易语言CE源码带提升权限模块
09-11
用易语言做的CE源码用易语言做的CE源码用易语言做的CE源码用易语言做的CE源码
Windows Wce认证过程&&MS11-080提权使用
永不垂头的博客
08-27 363
Windows Wce认证过程&&MS11-080提权使用 文章目录Windows Wce认证过程&&MS11-080提权使用一、Windows Wce认证过程1.Wce讲解过程2.Wec讲解使用3.Wec 获取明文密码二、MS11-080提权使用三、我的公众号 一、Windows Wce认证过程 1.Wce讲解过程 用新用户登录: 在win xp 上创建一个新的用户: 2.Wec讲解使用 因此我们需要解决以上问题,下一个.dll文件进行覆盖。下面用win7进行演示
小白白红队初成长(7)win权限提升
划水的小白白
05-07 5646
1、前言 1.1、一些补充 2、Potato家族 2.1、补充 2.2、利用前提(条件) 2.3、简述JuicyPotato原理 2.4、利用过程 3、系统错误配置提权-AlwaysInstallElevated 3.1、漏洞原理 3.2、验证目标机器是否存在漏洞 3.3、搭建漏洞环境(激活AlwaysInstallElevated) 3.3.1、第一种方法 3.3.2、第二种方法 3.4、提权测试 4、令牌窃取 什么是令牌? “令牌窃取”使用场景 知识点补充 实际测试 其他补充 5、内核提权 5.1、寻找
三个方法CE提权过检测(用SYSTEM打开程序CE进程)
热门推荐
qq_42311391的博客
09-23 1万+
三种方法提权CE到SYSTEM权限下,过检测的三个有效方法
CE进行中断提权
寻梦&之璐
05-11 461
重新启动之后,windbg改动数据恢复,程序报错 用CE进行修改后: 紧接着运行程序:
驱动保护进程 句柄降权 杀软自保 游戏破图标技术原理和实现
鬼手的博客
11-26 6149
驱动保护进程 句柄降权 杀软自保 游戏破图标技术原理和实现
Win7x64通过ObCallback过滤文件、命名管道创建和打开
Sven的忘却日记
05-11 841
测试了win7x64 、win8x64,可以正常过滤命名管道。 也可以通过替换npfs驱动的dispatch入口函数来做。 #include <ntifs.h> #include <ntddk.h> struct ThreadData { ULONG ThreadId; int Priority; }; #define PRIORITY_BOOSTER_DEVICE 0X8000 #define IOCTL_PRIORITY_BOOSTER_SET_PRIORITY CT
驱动开发:内核枚举进程与线程ObCall回调
CSDN
10-22 9004
首先我们需要定义好结构体,结构体是微软公开的,如果有其它需要请自行去微软官方去查。线程回调,之所以放在一起来讲解是因为这两中回调在枚举是都需要使用通用结构体。中我们通过特征码定位实现了对注册表回调的枚举,本篇文章。的枚举,如果是想要输出线程句柄,则只需要替换代码中的。就可以拿到链表头结构,得到后将其解析为。代码部分的实现很容易,由于进程与。所以放在一起来讲解最好不过。运行这段驱动程序,即可得到。运行这段驱动程序,即可得到。将教大家如何枚举系统中的。即可,修改后的代码如下。的枚举很容易,直接通过。
CE和进程隐藏 最新版
10-07
强大的CE最新版搭配进程隐藏 可破很多游戏 只要你懂CE 那这东西太有用了
CE,注入,过非法,过NP
05-19
CE,注入,过非法,过NP
由E语言编写的CheatEngine的教程
11-17
CheatEngine的教程,用E语言重新写了一遍,C语言写的dll,帮助生成指针
哈尔滨工业大学-ChatGPT调研报告-2023.3.6-94页.pdf
03-10
哈尔滨工业大学-ChatGPT调研报告-2023.3.6-94页.pdf 哈尔滨工业大学-ChatGPT调研报告-2023.3.6-94页.pdf ...一条可能的路径,并被认为向通用人工智能迈出了坚实的一步,将对搜索引调研报告-2023.3.6-94页.pdf
DevComponents.DotNetBar2 V10 破解版
12-29
DevComponents.DotNetBar2.dll DevComponents.DotNetBar.Design.dll DevComponents.Instrumentation.Design.dll DevComponents.Instrumentation.dll DevComponents.TreeGX.dll DevComponents DotNetBar2 DotNetBar ...
cudnn-10.1-windows10-x64-v7.6.5.32.zip
09-12
Could not load dynamic library 'cudnn64_7.dll'; dlerror: cudnn64_7.dll not found 本文件是cudnn-7.6.5的文件,可以用来解决一些tensorflow无法加载某些文件的问题
Visual.Assist.X.V10.8.2023原版安装文件及破解补丁Patch
12-22
下载的压缩包内提供了原版的安装文件和破解补丁,为了方便各位使用,具体更新列表以及补丁的使用方法参见我的博客(特别是无法破解的朋友,还有不知道如何破解VC2012的朋友,如果发现有破解不了的情况,一定是你们...
Android support.v7包
04-14
Android support.v7包
【2021.03.12】段描述符属性:P位、G位
oalken的博客
03-12 2466
要点回顾 段寄存器的值是通过段描述符填充的。 但是段描述符只有64位,如何从64位变成80位? 段描述符的结构 P位 P位位于高4字节下标为15的位置。 P = 0:段描述符无效。 P = 1:段描述符有效。 通过指令将段描述符加载至段寄存器的时候,CPU第一件事就是检查该段描述符的P位。 如果P位等于0,那么其他的检查就不做了。只有当P位为1的时候才会做后续的其他检查。 G位 G位位于高4字节下标为23的位置。 在了解G位之前,先来回顾一下段寄存器的结构。 段寄存器的结构 s
雷蛇pubg鼠标宏2023.10
最新发布
11-03
雷蛇PUBG鼠标宏2023.10是一款专为PUBG游戏设计的鼠标宏软件。鼠标宏是在游戏中使用鼠标快捷键功能来实现一系列复杂操作的工具。 雷蛇PUBG鼠标宏2023.10采用了最新的技术和算法,可以帮助玩家在游戏中更快速和准确地执行各种操作。它可以记录和播放鼠标动作和按键操作,并允许玩家自定义各种宏命令,如连点、连发、宏指令等。 这款鼠标宏软件具有强大的功能和灵活的操作性。它提供了多种宏命令录制和编辑功能,使玩家可以根据自己的需求和游戏习惯来定制宏指令。玩家可以通过简单的操作来添加、删除、修改和排序宏命令,以便实现更加个性化的游戏操作。 此外,雷蛇PUBG鼠标宏2023.10还具有智能宏命令分组和快捷键绑定功能,使宏命令的管理更加方便和高效。玩家可以将相似的宏命令进行分组,通过设置快捷键来实现一键切换宏命令组的功能,提高游戏时的操作效率。 总而言之,雷蛇PUBG鼠标宏2023.10是一款功能强大、操作灵活的鼠标宏软件,可以帮助玩家在PUBG游戏中实现更加快速和准确的操作,提高游戏的竞争力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值