某CCC-BASE的逆向

已于 2022-10-28 11:31:12 修改
阅读量2.2k 收藏 5
点赞数
分类专栏: 爱好 文章标签: 安全
于 2022-10-28 11:18:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37353105/article/details/127565155
版权

背景

很早之前就已经分析过一遍,一直放在。今天突然又看到了,放着也是放着,索性拿出来分享一下,很多东西的细节省略了,这里只是谈及用到了什么技术,具体细节需要自己去学习;这里的版本是22-03-14,时间比较久了,有些可能说的不全,可能和你的分析有差别,以你的为准。

分析

为了方便描述,这里就从驱动入口开始,去掉敏感信息,初始化MJ函数。之后初始化了一个事件。后面会创建了一个符号连接,之后会提到。

 这样就有了两个符号连接,这里称为A和B,A是用来初始化的,B是用来获取各个信息。来看看A中有什么东西(通信数据被加密,可逆,这里省略),内容很多,挑感兴趣的说一下。

反调试

每次通信时会检测的东西,前提是打开反调试。获取debugport、检测peb、queryprocess 1f、ticketcount是否大于5000,检测到之后结束被调试的进程

顺便分离内核调试

初始化各种数据

api初始化,获取各个函数的地址

 ssdt/shadowssdt、pagelist、gTimerHashTable、lasspid、crsspid、以及win32k的某些偏移(对窗口、绘制等东西不熟,所以这里获取到的某些结构,我也不知道是什么)、ptebase等一些数据。

获取物理内存的使用和vad的偏移,以及获取ssdt表的各个函数

 初始化系统线程,每十秒执行一次

枚举受保护进程的FreezeCount

 20一次的枚举debugport、threadhinden、检测内核线程、以及和时间相关的东西

 

 30s一次的内核调试器分离,vm代码中有SharUserData的相关检测、以及KdRefreshDebuggerNotPresent,检测到bugcheck蓝屏

 其他功能

进程、线程、dll回调、ob都注册了,看看检测了什么东西。

时间检测

 vt和SharUserData检测

 mapping检测

 shellcode检测,和mdl有关,这里先看一看

 一些不常见检测

intelPT和nmi中断相关的blog在分析之后也看到过,不过比我当时分析的更详细,更具体,这里简单描述一下,这两个功能的目的都是中断下来检测当前的rip是否在收保护的进程中操作,如果是这里会保存下来,给你标记下来。

https://bbs.pediy.com/thread-273980.htm

https://bbs.pediy.com/thread-274613.htm

 hook 0e是的,它真的还在,不过做的方式是替换页表,而且在kpti开启的情况下会蓝屏,具体可以参考看雪的blog,这里就是给一个假的cr3,记录访问这个cr3的进程,好消息是17763不支持(难道是有什么难言之隐,就算没有,也只有在不支持内核页表隔离的系统上跑)

 MiTrackPtesAborted、MiDeadPteTrackerSListHead、MmTrackPtes mdlmapping映射检测,简单来说就是当mapp结束之后会插入到MiDeadPteTrackerSListHead链表,这里会开一个线程去检测这里面的数据

其他地方的线程暂停检测 

检测线程的栈信息

 当前计算机信息收集获取ataport.sys、storport.sys、CLASSPNP.sys、ndis、scsi等一些计算机网络、串口、文件的驱动,调用他们并获取计算机的信息,这里需要注意的是只支持19041一下的版本,瞧不起我19041以上的用户?这里的信息可以通过符号路径B获取到对应的数据

 还有很多接口,这里就不一一列举了。

符号链接B的接口

这里也列举几个有意思的接口,其中有几个可以利用的接口,mdlread,以及内核内存读,这里没有写。

 以及很多接口

 这里选两个受害者出来看看,第一个是取消apc,通过将ethread下的SchedulerApc直接ret的方式取消apc的调用

 第二个是调整当前进程的vad属性,参考blog​​​​​​​可以看看

 其实里面还有很多内容,有兴趣的可以自己去学习学习。

实战篇---某乎的x-zse-96逆向
zhouzhou_98的博客
01-29 619
x-zse-96是知乎的风控参数,在接口当中,如果没有该参数,有一定的概率能请求成功,但是在请求一段时间后,就会请求不通过。
「JS逆向三百例」JS逆向HIKVISION-视频监控的前端密码加密
布啦啦
03-18 724
本文详细分析了HIKVISION-海康威视监控前端登录过程中密码的加密机制,通过逆向工程解析了其 JavaScript 加密逻辑,重点研究了HIKVISION-海康威视监控的前端密码SHA256加密算法的实现。基于逆向分析结果,使用 Python 模拟了HIKVISION-海康威视监控的登录流程,最终实现了自动化登录功能。本文旨在为安全研究人员提供技术参考,帮助理解前端加密机制,并强调技术研究的合法性和合规性。
ACE BASE.sys蓝屏【终止代码:DRIVER_IRQL_NOT_LESS_OR_EQUAL】
Accelerate_dnf的博客
06-19 9248
ACE BASE.sys蓝屏
求助帖 腾讯反作弊服务ACE-BASE.sys在运行腾讯游戏时内存调用失败导致蓝屏的问题
weixin_42790273的博客
11-01 5160
首先我目前在用的系统是WIN11 21H2 最近经常蓝屏蓝屏代码0x0000001A 错误问题是内存管理出错 驱动为ACE-BASE.sys我检查了计算机的内存 并不存在任何问题 蓝屏报告也使用软件查看了 两个主要的错误就是ACE-BASE.sys与ntoskrnl.exe文件报错导致的内存管理出问题 导致蓝屏请问我该怎样处理呢 现在就是我更新了显卡驱动 内存没有问题也擦拭了内存条 把安全补丁卸载了几个 但是问题并没有得到解决 目前的显卡是英伟达3070ti 版本号546.01 我尽最大努力了 希望得到大
ACE_BASE用来检测隐藏进程线程的方式
qazxswpanzer的博客
01-21 2994
游戏检测
AceBase 项目教程
gitblog_00305的博客
09-26 1387
AceBase 项目教程 acebase A fast, low memory, transactional, index & query enabled NoSQL database engine and server for node.js and browser with realtime data change ...
window蓝屏 PAGE_FAULT_IN_NONPAGED_AREA ACE BASE.SYS
qq_51654202的博客
05-22 1504
解决办法是搜索这个文件然后开启管理员权限将其用记事本打开并清空,之后设置为只读。文件有两个,一个在c盘,一个在wegame那个盘,直接文件搜索就行。因为wegame的一个名为ace-game.sys的文件导致的。
逆向:Ucoresys.sys (一)
a294447011294447011的专栏
04-13 799
<br /> <br />刚开始练习逆向才粗学浅,大牛见之,请提点提点... ...<br /> <br />::000119A6::  55                       PUSH    EBP                             <br />::000119A7::  8BEC                     MOV     EBP, ESP                        <br />::000119A9::  8B45 08          
【JS逆向】某霸翻译sign和content逆向
weixin_62714329的博客
10-12 1972
小天为大家带来适合入门练习的JS逆向案例~~
最新美团JS逆向分析(_token参数)
猿小白的博客
10-09 3177
目标网址:https://cd.meituan.com/ 重要说明:文章教程仅供参考学习,请勿用于非法用途,否则后果自负。 目录 一、接口参数分析 二、加密逻辑分析 三、程序代码编写 四、运行结果测试 一、接口参数分析 在商家列表查询中,唯一一个加密参数就是_token,该参数是动态参数,每次请求都会发生变化。 二、加密逻辑分析 本次解决利用先解析_token,然后再封装的方法。 注意事项:运行代码的时候需要更换为自己的cookie 三、程序代码编写 #!.
ace-master.rar
12-09
ace-master bootstrap插件(模板) 2014版,界面相当美观,插件内容相当丰富! ace-master bootstrap插件(模板) 2014版,界面相当美观,插件内容相当丰富!
js逆向第13例:猿人学第6题js混淆-回溯赛
花臂不花Home
01-08 1063
任务六:采集全部5页的彩票数据,计算全部中奖的总金额(包含一、二、三等奖)此题总体难度低于第5题,老规矩还是查看控制台请求地址如下: 数据地址中只是给出了三等奖的中奖金额,仔细观察网页数据,不难发现一等奖是三等奖的15倍,二等奖是三等奖的8倍如下: 具体的数据来源搞明白了!接下来就要如何拿到数据,观察请求地址,存在,,,其中page是页码,m是加密字符串,q就是页码+时间戳。 思路很清晰,搞定请求参数此题就应该问题不大了进入堆栈,可以看到这里的就是上面一行代码所生成js时间戳代码,全局变量怎么来的目前
AceBase:实时NoSQL数据库引擎的强大选择
gitblog_00306的博客
09-25 2267
AceBase:实时NoSQL数据库引擎的强大选择 acebase A fast, low memory, transactional, index & query enabled NoSQL database engine and server for node.js and browser with realtime...
反调试 -- 利用ptrace阻止调试器附加
weixin_34268843的博客
07-04 1068
为了方便应用软件的开发和调试,UNIX的早期版本就提供了一种对运行时中的进程进行跟踪和控制的手段,那就是系统的ptrace。 这个函数在iOS中没有提供头文件,我们可在macOS中查看头文件的具体细节。pteace提供了一个非常有用的参数,PT_DENY_ATTACH,这是一个宏,这个参数用于告诉系统阻止调试器附加。 首先,可以将macOS下的头文件整体复制出来放到iOS工程下,方便使用。 ...
高性能实时数据库AceBase:创新NoSQL解决方案
gitblog_00068的博客
05-22 2261
高性能实时数据库AceBase:创新NoSQL解决方案 acebase A fast, low memory, transactional, index & query enabled NoSQL database engine and server for node.js and browser with realti...
逆向未知dhook.sys驱动源代码
01-25 2395
IRP_MJ_CREATE和IRP_MJ_CLOSE,DriverUnload例程很简单可以看写出的C代码或者是dhook.sys的驱动.关键IRP_MJ_DEVICE_CONTROL例程有点复杂和用户层通信.如下:.text:000103DB ; int __stdcall sub_103DB(PDRIVER_OBJECT DeviceObject,PIRP Irp).text:000103DB
逆向TesSafe.sys
08-25 3336
//------------------------------[IDA] => TesSafe.sys --------------------------------------//// File MD5: E780032179272AFD93BCF4A9A67C7706// Version: 0.0.6.5//-----------------------------------------
反调试技术简介
LH1013886337的博客
12-08 1647
反调试技术,即软件作者防止其他人对软件进行调试的技术,是一种软件安全保护技术,可以通过改变自己的正常执行路径、修改自身导致崩溃等操作,增加调试时间和复杂度反反调试技术:在代码运行期间动态修改代码,使其不能调用反调试检测功能。
易语言编程之CE过驱动保护(ACE)调试教程
hzw320的博客
11-11 7540
一用CE,就提示开了程序要结束,你一搜到地址鼠标右键想看看访问和写入的代码地址,找基址时候,游戏就退出了,这个教程教你 可以随便调试,查看代码了。很多时候,驱动保护很让人头疼,
ACE-BASE关闭
最新发布
03-30
### 如何正确停止或关闭 ACE-BASE 服务 要正确停止或关闭基于 ACE(Advanced Communication Environment)框架构建的服务或程序,通常需要遵循特定的设计模式和机制来确保资源被安全释放并终止运行中的线程或进程。以下是关于如何实现这一目标的具体说明: #### 关闭逻辑的核心概念 ACE 提供了一种优雅的方式用于管理生命周期结束时的操作,例如清理资源、关闭文件描述符以及断开网络连接等。这可以通过调用 `handle_close()` 方法完成,该方法会触发一系列操作以逐步销毁对象实例及其依赖项[^1]。 具体而言,在子类化自 `ACE_Event_Handler` 的处理程序中重写 `handle_close()` 函数可以定义具体的退出行为。当某个事件发生或者显式请求关闭时,这个函数会被自动调用。它不仅负责执行必要的清理工作还可能涉及通知其他组件当前状态的变化情况。 对于更复杂的场景比如长时间持有锁之后再解锁的情况,则需注意时间间隔控制以免影响性能表现。如下代码片段展示了这种情形下的调试信息记录过程[^2]: ```cpp if (diff_msec > ACE_ALLOWED_SLACK) { ACE_DEBUG((LM_DEBUG, ACE_TEXT("Acquire fails time reset test\n"))); ACE_DEBUG((LM_DEBUG, ACE_TEXT("Diff btw now and returned time: %d ms\n"), diff.msec())); } // Simulate holding the lock for some period. ACE_OS::sleep(ACE_Time_Value(0, (ACE_OS::rand() % 1000) * 1000)); evt.signal(); ``` 另外值得注意的是,默认情况下除非特别配置否则任何未经许可尝试访问受限功能的行为都将遭到拒绝。如果希望更改此项策略可通过适当调整配置参数达成目的,例如下面的例子设置了默认允许所有服务/命令权限[^3]: ```plaintext user = lol { default service = permit; } ``` 综上所述,为了妥善地停运一个基于ACE架构的应用程序应当考虑以下几个方面: - 实现定制版的 `handle_close()` 来适配实际需求; - 考虑并发环境下的同步问题并通过合理手段加以解决; - 根据业务特性灵活运用各类辅助工具如定时器等等;最后别忘了审查安全性设定防止意外暴露敏感接口给未经授权方使用。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值