-
-
[原创]某P保护之调戏权限清0的学习。
-
发表于: 2016-1-10 16:37
-
废话不多说啦,直接开干。
我们先来看看ValidAccessMask的值。
通过NtCreateDebugObject来定位。
uf NtCreateDebugObject
地址为fffff800`04011f40
第一个地址就是_object_type的地址
我们想得到的ValidAccessMask存在TypeInfo中,偏移为0x40
由上图可以看出ValidAccessMask的默认值为0x1f000f,此值为0时OD将无法附加,测试一下看看,我们将ValidAccessMask修改为0。
进程已无法附加,可见ValidAccessMask的值的确对我们附加进程造成影响,参考资料得TP是循环的将ValidAccessMask清0,即得出解决方法:1)自己恢复原来的值 2)找到TP清零的位置Nop掉 3)对ValidAccessMask进行移位,这里用最简单的方法一。
写代码时候发现了许多问题。NtCreateDebugObject这个函数在SSDT中,而X64已经没有导出KeServiceDescriptorTable,这里参考了TA大的Win64驱动开发教程,代码拿来即可用,抱着学习的心态来,学习方法和原理,动手。
反汇编KiSystemCall64,这里是内核函数入口。
uf KiSystemCall64,代码很多,贴出关键部分
特征码是:4c8d15c
内核代码开始的地址保存在C0000082寄存器中,读取这个寄存器也很方便,可用__readmsr()函数读取(MSR中文是特别寄存器块),
WinDbg测试看看。
地址相同。
/************************************************************************
函数名称:GetKeServiceDescriptorTable64
函数功能:得到GetKeServiceDescriptorTable64地址
************************************************************************/
ULONGLONG GetKeServiceDescriptorTable64()
{
PUCHAR StatrtSearchAddr = (PUCHAR)__readmsr(0xc0000082);
PUCHAR EndSearchAddr = StatrtSearchAddr + 0x500;
PUCHAR i = NULL;
UCHAR b1 = 0, b2 = 0, b3 = 0;
ULONG templong = 0;
ULONGLONG addr = 0;
for (i = StatrtSearchAddr; i < EndSearchAddr; i++)
{
if (MmIsAddressValid(i) && MmIsAddressValid(i + 1) && MmIsAddressValid(i + 2))
{
b1 = *i;
b2 = *(i + 1);
b3 = *(i + 2);
//fffff800`01ad0772 4c8d15c7202300 lea r10,[nt!KeServiceDescriptorTable (fffff800`01d02840)]
if (b1 == 0x4c && b2 == 0x8d && b3 == 0x15)
{
memcpy(&templong,i + 3,4);
addr = (ULONGLONG)templong + (ULONGLONG)i + 7;
return addr;
}
}
}
return 0;
}
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
|
|
|
|
|
|
CP那玩意儿之前不是随便剥着玩咩?现在版本不清楚了
|
|
|
|
|
|
|
|
|
感谢zfdyq,看了你的帖子一步一步学习的。
|
|
|
 膜拜一下~~ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
好文章,谢谢分享
|
|
|
|
