[原创]CF驱动读写开源。不需要开线程就可以直接读出来真实的数据。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]CF驱动读写开源。不需要开线程就可以直接读出来真实的数据。

发表于: 2018-10-26 21:20 21637

[原创]CF驱动读写开源。不需要开线程就可以直接读出来真实的数据。

BDBig

2018-10-26 21:20

21637

这个东西也不是什么难的东西。很简单。我现在还在想如何解决模式的问题。如果是内核模式（ KernelMode ）就可以读到正确的数据。如果是用户模式(UserMode)读出来的数据是错误的。不明白这个是为什么。还希望个位大佬...指点。该驱动支持WIN7 - WIN10 不支持WeGame 运行游戏 WeGame 也有保护对游戏

并且好像不是TP.用WeGame启动游戏好像是启用了 Inter TLB缓存。导致CShell.dll的数据读出来的都是错误的。下边是游戏测试图。

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

最后于 2018-10-26 21:22 被BDBig编辑，原因：

上传的附件：

Attach.7z （1.78MB，2186次下载）

收藏・48

免费・3

支持

最新回复 (42) 1 2 ▶
IAMRiver 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	IAMRiver 2 楼沙发，路过顶帖。 2018-10-26 21:25 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 3 楼这个并没有拿到真实的CR3.只是挂靠进去把线性地址转成了物理地址。真实的CR3怎么拿我HOOK上下文照样是假的。没有PTML4..... 2018-10-26 21:27 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 4 楼里边部分代码没啥用网上复制粘贴来测试的。只能读不能写。没有写写的--想商用自己的改改吧。这个驱动支持DXF CF 绝求生刺战场/全*出击等等游戏 TP的游戏不追封。其他的我不清楚。 2018-10-26 21:35 1
iippp 雪币： 6 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	iippp 5 楼学驱动：6666666666666666666 2018-10-26 22:27 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 6 楼搞错了。支持WeGame。一个地方写错了 2018-10-26 23:23 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 7 楼线程回调可以拿到真实cr3，其次，页表没有全部被干掉，拿到真的cr3以后，小部分内存可以读到，大部分内存无法读取，Win7的走0E中断，Win10走什么没看 2018-10-27 08:34 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 8 楼这种方式不感觉Win7能用 2018-10-27 08:38 0
柒雪天尚雪币： 181 活跃值： (621) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 323 粉丝 5 关注私信	柒雪天尚 9 楼 NPNP。 2018-10-27 11:33 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 10 楼赞一个代码多吗 2018-10-27 14:54 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 11 楼刘铠文这种方式不感觉Win7能用可以用的。测试了已经。不用找到CR3就可以读。我的目的是恢复页表。你说的大部分数据读不到我就是怀疑是 Inter TLB 2018-10-27 16:48 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 12 楼刘铠文线程回调可以拿到真实cr3，其次，页表没有全部被干掉，拿到真的cr3以后，小部分内存可以读到，大部分内存无法读取，Win7的走0E中断，Win10走什么没看 WIN10也一样的。不过不适用新版本的WIN10 1803 1809。那个版本基本没保护没搞明白线程回调是什么具体是哪个... 最后于 2018-10-27 16:58 被BDBig编辑，原因： 2018-10-27 16:49 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 13 楼 killpy 赞一个代码多吗不算多。很少的 2018-10-27 16:53 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 14 楼最后于 2018-10-27 16:58 被BDBig编辑，原因： 2018-10-27 16:58 0
FraMeQ 雪币： 2335 活跃值： (1319) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 83 粉丝 15 关注私信	FraMeQ 15 楼赶紧先下载一份，估计要被律师函了 2018-10-27 19:00 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 16 楼然鹅，这种方式一年前就凉了哇 2018-10-27 21:26 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 17 楼刘铠文然鹅，这种方式一年前就凉了哇这种方法并没有凉。都是挂靠。但是做的事情不一样。CF不检测挂靠的哇我现在都怀疑 TP连CR3发生切换的时候都不检测。挂靠说白了就是CR3的切换。TSS会有记录的还有一个严重的问题。TP有BUG 会导致一断代码直接死了。那段代码是检测特征的。我触发了这个BUG 确实发现原来拉闸的外挂我玩了一晚上打的排位都没有封号。这是最假的最后于 2018-10-27 21:49 被BDBig编辑，原因： 2018-10-27 21:47 0
dianfsgff 雪币： 962 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	dianfsgff 18 楼这方式没凉你是认真的么。 2018-10-29 06:53 0
hekes 雪币： 4939 活跃值： (2360) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 228 粉丝 7 关注私信	hekes 19 楼 mark 驱动读写 2018-10-29 19:34 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 20 楼 dianfsgff 这方式没凉你是认真的么。[em_10] 要是凉了。。。我开源什么呀。win7 - win10 都测试了。你可以试试看呀 2018-10-29 20:03 0
lylxd 雪币： 5199 活跃值： (3437) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 253 粉丝 1 关注私信	lylxd 21 楼画重点 MmGetPhysicalAddress MmMapIoSpace 2018-10-30 18:08 0
木志本柯雪币： 4741 活跃值： (4291) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 364 粉丝 4 关注私信	木志本柯 22 楼呦西感谢大兄弟我开源精神 2018-10-31 18:03 0
飞鱼_816948 雪币： 999 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	飞鱼_816948 23 楼好东西！谢谢分享 2018-11-1 01:19 0
huanghaiyi 雪币： 151 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	huanghaiyi 24 楼楼主，有没这方面的学习资料？ 2018-11-1 09:54 0
wanalj 雪币： 4 能力值： (RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	wanalj 25 楼能加你微信吗？ 2018-11-1 22:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

BDBig

发帖

124

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (42) 1 2 ▶
IAMRiver 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	IAMRiver 2 楼沙发，路过顶帖。 2018-10-26 21:25 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 3 楼这个并没有拿到真实的CR3.只是挂靠进去把线性地址转成了物理地址。真实的CR3怎么拿我HOOK上下文照样是假的。没有PTML4..... 2018-10-26 21:27 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 4 楼里边部分代码没啥用网上复制粘贴来测试的。只能读不能写。没有写写的--想商用自己的改改吧。这个驱动支持DXF CF 绝求生刺战场/全*出击等等游戏 TP的游戏不追封。其他的我不清楚。 2018-10-26 21:35 1
iippp 雪币： 6 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	iippp 5 楼学驱动：6666666666666666666 2018-10-26 22:27 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 6 楼搞错了。支持WeGame。一个地方写错了 2018-10-26 23:23 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 7 楼线程回调可以拿到真实cr3，其次，页表没有全部被干掉，拿到真的cr3以后，小部分内存可以读到，大部分内存无法读取，Win7的走0E中断，Win10走什么没看 2018-10-27 08:34 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 8 楼这种方式不感觉Win7能用 2018-10-27 08:38 0
柒雪天尚雪币： 181 活跃值： (621) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 323 粉丝 5 关注私信	柒雪天尚 9 楼 NPNP。 2018-10-27 11:33 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 10 楼赞一个代码多吗 2018-10-27 14:54 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 11 楼刘铠文这种方式不感觉Win7能用可以用的。测试了已经。不用找到CR3就可以读。我的目的是恢复页表。你说的大部分数据读不到我就是怀疑是 Inter TLB 2018-10-27 16:48 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 12 楼刘铠文线程回调可以拿到真实cr3，其次，页表没有全部被干掉，拿到真的cr3以后，小部分内存可以读到，大部分内存无法读取，Win7的走0E中断，Win10走什么没看 WIN10也一样的。不过不适用新版本的WIN10 1803 1809。那个版本基本没保护没搞明白线程回调是什么具体是哪个... 最后于 2018-10-27 16:58 被BDBig编辑，原因： 2018-10-27 16:49 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 13 楼 killpy 赞一个代码多吗不算多。很少的 2018-10-27 16:53 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 14 楼最后于 2018-10-27 16:58 被BDBig编辑，原因： 2018-10-27 16:58 0
FraMeQ 雪币： 2335 活跃值： (1319) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 83 粉丝 15 关注私信	FraMeQ 15 楼赶紧先下载一份，估计要被律师函了 2018-10-27 19:00 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 16 楼然鹅，这种方式一年前就凉了哇 2018-10-27 21:26 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 17 楼刘铠文然鹅，这种方式一年前就凉了哇这种方法并没有凉。都是挂靠。但是做的事情不一样。CF不检测挂靠的哇我现在都怀疑 TP连CR3发生切换的时候都不检测。挂靠说白了就是CR3的切换。TSS会有记录的还有一个严重的问题。TP有BUG 会导致一断代码直接死了。那段代码是检测特征的。我触发了这个BUG 确实发现原来拉闸的外挂我玩了一晚上打的排位都没有封号。这是最假的最后于 2018-10-27 21:49 被BDBig编辑，原因： 2018-10-27 21:47 0
dianfsgff 雪币： 962 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	dianfsgff 18 楼这方式没凉你是认真的么。 2018-10-29 06:53 0
hekes 雪币： 4939 活跃值： (2360) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 228 粉丝 7 关注私信	hekes 19 楼 mark 驱动读写 2018-10-29 19:34 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 20 楼 dianfsgff 这方式没凉你是认真的么。[em_10] 要是凉了。。。我开源什么呀。win7 - win10 都测试了。你可以试试看呀 2018-10-29 20:03 0
lylxd 雪币： 5199 活跃值： (3437) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 253 粉丝 1 关注私信	lylxd 21 楼画重点 MmGetPhysicalAddress MmMapIoSpace 2018-10-30 18:08 0
木志本柯雪币： 4741 活跃值： (4291) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 364 粉丝 4 关注私信	木志本柯 22 楼呦西感谢大兄弟我开源精神 2018-10-31 18:03 0
飞鱼_816948 雪币： 999 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	飞鱼_816948 23 楼好东西！谢谢分享 2018-11-1 01:19 0
huanghaiyi 雪币： 151 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	huanghaiyi 24 楼楼主，有没这方面的学习资料？ 2018-11-1 09:54 0
wanalj 雪币： 4 能力值： (RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	wanalj 25 楼能加你微信吗？ 2018-11-1 22:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复