游戏安全之借刀杀人

最新推荐文章于 2023-07-28 12:39:26 发布
最新推荐文章于 2023-07-28 12:39:26 发布
阅读量1.3k 收藏 8
点赞数 5
分类专栏: 游戏安全 逆向分析 系统安全 C/C++ ASM 文章标签: 驱动读写 注入读写 游戏读写
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wrsharper/article/details/98803411
版权

游戏安全之借刀杀人

0x0简介

我们知道现在大多数网络游戏都是有游戏保护的,由于游戏保护的原因当我们使用第三方程序去操作(读写)游戏进程内存的时候,会提示没有读写权限。

这是因为,我们在打开游戏进程(OpenProcess)获取句柄(Handle)的时候,游戏的驱动保护注册有回调过滤我们的句柄权限。

然而在Windows下是有一些系统进程必须与其他进程进行交互的,所以这些系统进程会保存有被保护游戏进程的句柄,并且游戏保护是不容易对其做权限过滤的。例如:lsass.exe ,csrss.exe等。

所以文章标题的“借刀杀人”,指的就是直接利用系统交互进程中的句柄来操作游戏进程内存。这种方式是也是程序全部运行在Ring3层来读写的比较隐藏的方法。

0x1句柄劫持

首先查看lsass.exe进程中的句柄,发现它有打开受保护的游戏进程crossfire.exe,且权限为0x1478,具有查询、读写进程等功能。

我们要做的就是,注入进lsass.exe进程,直接使用这个0x1688句柄,调用ReadProcessMemory(WriteProcessMemory)或者更底层的NtReadVirtualMemory(NtWriteVirtualMemory)或者下文讲的自己实现读写函数。 

0x2句柄枚举

上文我们是用了微软的procexp工具看到的句柄,那么我们自己怎么用代码自动获取这个句柄呢?

使用NtQuerySystemInformation的第16位功能号枚举系统句柄信息:

或者使用NtQueryInformationProcess的第51位功能号枚举进程句柄信息(要求系统Windows8以上): 

0x3关于注入

在高版本的Windows系统上注入例如lsa

最低0.47元/天 解锁文章
HadesW_W
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
CPU-Z 驱动,权限提升+任意代码执行(CVE-2017-15303)复现
锋刃科技的博客
12-21 1943
漏洞描述 在1.43之前的CPUID CPU-Z中,存在任意内存写入操作,直接导致特权提升,因为在本地计算机上运行的任何程序(在CPU-Z运行时)都可以向内核模式驱动程序发出ioctl 0x9C402430调用(例如,版本1.41的cpuz141_x64.sys)。实际上在复现过程中发现配合ioctl 0x9C402420 ,不仅可以特权提升,还可以任意内核代码执行,可以修改系统所有重要数据结构,绕过Windows的强制驱动签名,严重影响系统安全性。 漏洞形成 复现环境为win 7 x64 ...
APEX-EAC Bypass:解锁游戏限制的新技术
最新发布
gitblog_00046的博客
04-23 451
APEX-EAC Bypass:解锁游戏限制的新技术 项目地址:https://gitcode.com/luciouskami/APEX-EACBypass 项目简介 APEX-EAC Bypass 是一个开源项目,旨在帮助玩家绕过某些电子竞技(E-Sports)游戏中的Easy Anti-Cheat (EAC) 防作弊系统。这个项目专注于为《APEX Legends》这样的游戏提供解决方案,但其...
检测隐藏进程
liuhaidon1992的博客
01-17 2579
1. 用 户 态 进 程 检 测 方 法 该 方 法 利 用 WindowsAPI检测进程。但是在实际应用中,该方法几乎无法检测到 Rootkit隐藏进程。 用户态可以通过CreateToolhelp32Snapshot,Process32First,Process32Next遍历进程。 或者通过通过psapi.dll提供的EnumProcesses来枚举进程。 也可以使用Native API 中...
驱动保护进程 句柄降权 杀软自保 游戏破图标技术原理和实现
鬼手的博客
11-26 6852
驱动保护进程 句柄降权 杀软自保 游戏破图标技术原理和实现
指定PID句柄提权
qq_45844442的博客
07-28 632
上一节句柄降权是降权驱动将我们CE中的私有句柄表的DbgVIew成员权限给换了,所以我们的方案就是将这个权限提升回去,但是这样就会出现一闪一闪的样子,因为降权驱动一遍在降权提权驱动一遍在提权,所以这时候的思路是让降权驱动失效。根据上节我们可以看到降权驱动是在判断CE中的私有句柄表中是否有DbgView的句柄,那么办法就是换掉这个CE私有句柄表中的DbgView句柄,但是新的DbgView句柄中内容和原来保存的是一致的,代码如下。3.在驱动中抹除CR3、PID、名称只是为了防止更深层检测,并不影响提权。
借刀杀人的故事.doc
09-17
借刀杀人的故事.doc
品牌三十六计之“借刀杀人”策略.doc
09-29
【品牌三十六计之“借刀杀人”策略】 在激烈的市场竞争中,品牌策略的重要性日益凸显。"借刀杀人"这一策略源自古代兵法,但在现代商业领域,它被赋予了新的含义,指的是巧妙利用现有资源,尤其是竞争对手或市场的...
房地产兵法论专集之十一-借刀杀人.docx
10-25
房地产兵法论专集之十一-借刀杀人.docx
杀人游戏秘籍.docx
02-21
杀人游戏秘籍.docx
简单的杀人游戏代码
05-09
【简单的杀人游戏代码】是一个基于C++编程语言实现的小型游戏程序。这个游戏的逻辑是模拟一个常见的社交游戏——“杀人游戏”。在这个游戏中,玩家按顺序进行活动,每隔一定人数就会随机选择一位玩家作为“被杀者”...
launcher-abuser:秘密劫持游戏启动器中现有游戏进程句柄的方式(当前支持Steam和Battle.net)。 以最小的占用空间实现外部游戏过程的可读写
04-30
发射器滥用者 秘密劫持游戏启动器中现有游戏进程句柄的方式(当前支持Steam和Battle.net)。 以最小的占用空间实现外部游戏过程的读/写。 核心概念: 没有新的句柄:LA(Launcher Abuser / cheat)进程使用与游戏启动器进行通信,但是LA-> Game Launcher句柄在加载游戏之前被销毁(并且通信在没有它的情况下仍然有效)。 没有新模块:将154字节的shellcode注入游戏启动器,以使用自旋锁和共享内存处理读取和写入请求。 没有新的线程:现有的游戏启动器线程被劫持,因此占用的空间更少。 没有新的可执行内存页:由于它是一个154字节的shellcode,因此将现有的可执行页内存用作自旋锁(以及以下读取/写入操作)的代码凹腔。 这个怎么运作 它滥用了启动程序保留的现有游戏过程句柄(通常具有完全权限)。 LA进程使用它来向游戏进程发送读写命令,从而控
游戏的窗体句柄模块2.ec
12-30
游戏的窗体句柄模块2.ec 我自己写的,没毒 我引用了外挂海模块,这是一个单独的命令,很方便的。
Hackshield-Driver-Bypass:在 Ring0 中绕过 HackShield 几个特定的​​ SSDT 钩子
06-20
适用于 Windows Xp/7 的 Hackshield 绕过 Windows 驱动程序源 建筑环境:WDK 7600.16385.1 平台:Windows XP/7 x86 加载 EagleXNT.sys 后绕过几个特定的​​ ssdt 钩子 NtOpen进程 NtReadVirtualMemory NtWriteVirtualMemory NtProtect 虚拟内存
windows环境下的自保护探究
hongduilanjun的博客
09-14 1202
我们要想在32位下实现进程保护很简单,通过SSDT hook重写函数即可实现,但是在64位系统下因为引入了PG和DSE的原因,导致SSDT hook实现起来处处受限。但微软同样为了系统安全,增加了一个对象回调函数的接口,利用该回调可以实现对对象请求的过滤保护自身的进程,目前大部分64位下的安全软件保护机制都是基于该方法,我们深入进行探究。
DLL劫持、COM劫持、Bypass UAC利用与挖掘
weixin_44216796的博客
12-30 1055
倾旋大佬:https://payloads.online/ DLL劫持 何为劫持 “在正常事物发生之前进行一个旁路操作” DLL是什么 DLL(Dynamic Link Library)文件为动态链接库文件,又称“应用程序拓展”,是软件文件类型。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件,放置于系统中。 DLL的加载过程 程序所在目录 程序加载目录(SetCurrentDirecctory) 系统目录即SYSTEM32目录 16位系.
CVE-2017-15715漏洞复现
热门推荐
大方子
07-25 1万+
复现环境 docke apache 2.4.0到2.4.29即可 php5.5 复现过程 先在物理机上创建目录 mkdir -p /var/www/html 然后创建个容器,并关联物理机的/var/www/html目录 docker run -d -v /var/www/html:/var/www/html -p 8080:80 --name apache php...
eac 反调试_一种可能被用于EAC保护的检测调试器方案
weixin_39727976的博客
12-19 2268
测试环境:Windows7 x64 虚拟机 win10 1809 x64 虚拟机0x0起因小伙伴 @DBDig 最近也在玩APEX这个游戏,因为这个游戏有EAC保护所以有反调试,遂准备安排它。R3降权pass以后,下断没反应还又卡死又崩溃的。于是他自写了一个exe来模拟调试器的行为,万万没想到,EAC竟然对我们的exe做了这种事!他居然hook了我们的 WaitForDebugEvent这个函数...
vc++ hook 拦截自己进程指定的api函数_自己动手制作一个过保护调试器
weixin_39908263的博客
11-26 1026
一、起因第一次接触驱动开发的小白,事情是这样的,一个星期前突发奇想想做一个腻o调试器保护程序用于调试游戏,既然要调试驱动保护的程序,自然也要深入驱动底层做调试器必须要hook api去隐藏调试器的参数 所以就有了今天这篇文章。二、准备的东西第一个版本的调试器保护程序就是今天要说的用到ETW(Event Tracing for Windows)hook 去Hook api 实现隐藏参数...
百度之星历年算法大赛试题集
"百度之星十年试题集,包含了从2005年至2014年历年百度之星程序设计大赛的初赛和决赛题目,涵盖了算法、逻辑推理、数据结构、游戏策略等多个方面的编程挑战。" 这篇资料详细列出了百度之星历年竞赛的部分试题,这些...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值