首页
社区
课程
招聘
[原创]Windows系统时光机(副标题: 守望者逆向)
发表于: 2012-10-29 15:04 21415

[原创]Windows系统时光机(副标题: 守望者逆向)

2012-10-29 15:04
21415

【文章标题】: Windows系统时光机(副标题: 守望者逆向)
【文章作者】: root
【作者邮箱】: cppcoffee@gmail.com
【作者主页】: hi.baidu.com/cppcoffee
【软件名称】: 守望者
【下载地址】: 自己搜索下载
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  在6月份的时候已经逆向完守望者的核心驱动并还原成代码.由于一些事情迟迟没有发布(也许有些大牛手头上也有,由于一些原因没有公开吧,呵呵).
  看到论坛有一些帖子有关守望者的讨论,希望这篇文章能够让大伙少走弯路:)
  
  这是一个逆向游戏守望者的一个驱动,用来给整个系统进行加速处理.
  目前是整个系统都加速,包括系统时钟也变快了.
  备注: R3层要加载D3D9相关的DLL进行初始化,才会真正的体验到加速的效果.
  
  跟踪守望者应用层程序使用宇宙加速功能的时候分别执行了如下操作:
  1. 安装了名为 Gwken.dll 的驱动文件.
  2. 打开的设备名:  \\.\GWDRIVER_DeviceName
  3. 调用 GWHookMan.dll 提供的两个接口
      // 设置速度的函数 nSpeed速度值 初始化是100 (1倍)
      BOOL __stdcall GwSetText(int nSpeed)
      // 间隔刷新 (SetTimer 300毫秒调用一次,一直设置IOCTL)
      BOOL __cdecl GwSdRefresh()
  
  好了,到目前已经知道了驱动文件是哪个了,可以开始分析内核了.
  在驱动层,用雪兔儿查看了下HOOK的内核钩子有两个,分别是 KeUpdateSystemTime 和 KeQueryPerformanceCounter.
  
  插个题外话,分享下一点小常识,呵呵,起初参考的代码是ReactOS,发现 ReactOS 定义的 KeUpdateSystemTime __stdcall,结果我也用__stdcall,虚拟机就蓝屏了,后来才发现原来不是每个驱动函数都是用__stdcall的 - -b
  后来用IDA看下 ntoskrnl.exe,才发现它是__cdecl.囧Orz...
  
  进入正题.
  使用兄弟工作室提供的那个加速公式:
  Result := 上次返回时间 + Round((当前返回时间 - 上次正常时间) * Power(2,倍数));
  
  在驱动里面inline HOOK KeUpdateSystemTime 和 KeQueryPerformanceCounter
  然后定义两个数值,用来计算加速多少倍
  
  ---------------------------------华丽的分割线---------------------------------
  // 变速基数
  const DWORD g_dwSpeedBase = 100;
  // 变速数值 (200 / 100 = 2倍速,驱动加载后,默认为2倍速)
  DWORD g_dwSpeed_X = 200;
  
  
  替换掉的 KeUpdateSystemTime 函数内容如下
  // 必须是裸函数
  VOID __declspec(naked) __cdecl Fake_KeUpdateSystemTime()
  {
      // 跳转到新函数去执行
      __asm
      {
          // 参数是EAX和EDX传参的, 分别是 OUT PLARGE_INTEGER CurrentTime 的高位和低位
          // 进行变速处理 (EAX * 当前速度值 / 速度基数)
          mul g_dwSpeed_X
          div g_dwSpeedBase
          // 跳转到原来的函数去执行
          jmp JmpOriginal_KeUpdateSystemTime
      }
  }
  
  替换掉的 KeQueryPerformanceCounter
  // 伪装KeQueryPerformanceCounter
  LARGE_INTEGER __stdcall Fake_KeQueryPerformanceCounter( OUT PLARGE_INTEGER PerformanceFrequency )
  {
      LARGE_INTEGER liResult;
      LARGE_INTEGER liCurrent;
  
      // 调用原始函数
      liCurrent = JmpOriginal_KeQueryPerformanceCounter( PerformanceFrequency );
  
      // 上次返回时间 + Round((当前返回时间 - 上次正常时间) * Power(2,倍数));
      liResult.QuadPart = g_liPreReturnCounter.QuadPart + (liCurrent.QuadPart - g_liPreOriginalCounter.QuadPart) * g_dwSpeed_X / g_dwSpeedBase;
  
      // 保存当前的原始数值
      g_liPreOriginalCounter.QuadPart = liCurrent.QuadPart;
      // 保持返回值
      g_liPreReturnCounter.QuadPart = liResult.QuadPart;
  
      return liResult;
  }
  
  ---------------------------------我是分割线---------------------------------
  
  好了就写到这里了,由于感冒犯困,文章中可能避免不了笔误,请大家见谅.
  
  本文末尾附上驱动源码和逆向的IDB文件,驱动使用WDK 7600.16385.1编译通过,在XP系统下面测试通过.
  
  备注: 需要在加载驱动后,发现系统变卡了,请运行一个MP3播放器播放一首歌曲吧(或自己调用DX的初始化函数),就能够看到加速的效果了.守望者内部是加载了d3d9.dll的初始化函数来让驱动做的一些工作生效,由于没有DX的源码,无法分析到底是什么原理.还望感兴趣的人能够分享一下心得体会.

  谢谢兄弟工作室提供的公式.
  
  声明: 代码只用来学习交流用,请勿用于非法用途,否则后果自负.
  
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                       2012年10月29日 14:54:50


[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!

上传的附件:
收藏
免费 6
支持
分享
最新回复 (24)
雪    币: 1359
活跃值: (1153)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
2
不错,收藏先看看
2012-10-29 15:13
0
雪    币: 192
活跃值: (70)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
我只是过来学习的..
2012-10-29 15:14
0
雪    币: 14983
活跃值: (5290)
能力值: ( LV15,RANK:880 )
在线值:
发帖
回帖
粉丝
4
俺是来学习滴~
2012-10-29 15:18
0
雪    币: 223
活跃值: (516)
能力值: ( LV13,RANK:520 )
在线值:
发帖
回帖
粉丝
5
先来顶小C,再来拜读.
2012-10-29 15:25
0
雪    币: 248
活跃值: (188)
能力值: ( LV12,RANK:300 )
在线值:
发帖
回帖
粉丝
6
谢谢大家的支持
2012-10-29 16:15
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
7
hook版时光机
其实系统会卡是个bug~
2012-10-29 17:23
0
雪    币: 248
活跃值: (188)
能力值: ( LV12,RANK:300 )
在线值:
发帖
回帖
粉丝
8
V大果然犀利
2012-10-29 19:09
0
雪    币: 107
活跃值: (424)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
学习了...膜拜楼主和V
2012-10-29 19:30
0
雪    币: 102
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
哈哈,随便来看下就发现了个好文章,哈哈,谢谢!
2012-10-29 19:59
0
雪    币: 242
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
这个牛~。字数补丁。123
2012-10-29 20:25
0
雪    币: 99792
活跃值: (201184)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
12
Thanks for share.
上传的附件:
2012-10-30 00:17
0
雪    币: 297
活跃值: (120)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
13
来晚了,顶了再慢慢看。
2012-10-30 07:21
0
雪    币: 321
活跃值: (271)
能力值: ( LV13,RANK:1050 )
在线值:
发帖
回帖
粉丝
14
支持下,不过附件的idb打不开。
2012-10-30 10:07
0
雪    币: 14983
活跃值: (5290)
能力值: ( LV15,RANK:880 )
在线值:
发帖
回帖
粉丝
15
嗯嗯,我也打不开,哈哈。
2012-10-30 11:00
0
雪    币: 73
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
做了ring3层的东西~惊现ring0层
2012-10-30 11:35
0
雪    币: 677
活跃值: (24)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
来支持个~~~~~
2012-10-30 12:34
0
雪    币: 248
活跃值: (188)
能力值: ( LV12,RANK:300 )
在线值:
发帖
回帖
粉丝
18
为什么我的能打开,我用的IDA是看雪论坛上面提供的破解工具箱里面的IDA Professional v6.1
2012-10-30 13:14
0
雪    币: 122
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
让系统时间加速?
2012-10-30 14:57
0
雪    币: 342
活跃值: (2766)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
l
论坛搜索dbfix。
2012-10-31 14:20
0
雪    币: 37
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
好东西绝对要顶!!!!
2012-11-3 09:58
0
雪    币: 64
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
mark      n.s
2012-11-4 19:36
0
雪    币: 256
活跃值: (41)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
精辟,最近学习驱动,最喜欢看楼主的文章的,期待下一篇
2012-11-6 19:07
0
雪    币: 123
活跃值: (316)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
问题来了,win10 64位系统呢?
2020-6-4 01:09
0
雪    币: 259
活跃值: (283)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
666
2020-6-4 17:54
0
游客
登录 | 注册 方可回帖
返回
// // 统计代码