游戏安全之借刀杀人
0x0简介
我们知道现在大多数网络游戏都是有游戏保护的,由于游戏保护的原因当我们使用第三方程序去操作(读写)游戏进程内存的时候,会提示没有读写权限。
这是因为,我们在打开游戏进程(OpenProcess)获取句柄(Handle)的时候,游戏的驱动保护注册有回调过滤我们的句柄权限。
然而在Windows下是有一些系统进程必须与其他进程进行交互的,所以这些系统进程会保存有被保护游戏进程的句柄,并且游戏保护是不容易对其做权限过滤的。例如:lsass.exe ,csrss.exe等。
所以文章标题的“借刀杀人”,指的就是直接利用系统交互进程中的句柄来操作游戏进程内存。这种方式是也是程序全部运行在Ring3层来读写的比较隐藏的方法。
0x1句柄劫持
首先查看lsass.exe进程中的句柄,发现它有打开受保护的游戏进程crossfire.exe,且权限为0x1478,具有查询、读写进程等功能。
我们要做的就是,注入进lsass.exe进程,直接使用这个0x1688句柄,调用ReadProcessMemory(WriteProcessMemory)或者更底层的NtReadVirtualMemory(NtWriteVirtualMemory)或者下文讲的自己实现读写函数。
0x2句柄枚举
上文我们是用了微软的procexp工具看到的句柄,那么我们自己怎么用代码自动获取这个句柄呢?
使用NtQuerySystemInformation的第16位功能号枚举系统句柄信息:
或者使用NtQueryInformationProcess的第51位功能号枚举进程句柄信息(要求系统Windows8以上):
0x3关于注入
在高版本的Windows系统上注入例如lsa