[原创]在win7 x64下做个复杂的内核绘制(有码续集)-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]在win7 x64下做个复杂的内核绘制(有码续集)

发表于: 2018-11-17 18:36 11300

[原创]在win7 x64下做个复杂的内核绘制(有码续集)

万剑归宗

2018-11-17 18:36

11300

论坛改版了，我也low一low上一个帖子。

上一贴地址:https://bbs.pediy.com/thread-247671.htm

上一贴的代码和示例demo在附件中。

上一贴中我们最后说到，有些dx9的程序，并不会走到 NtUserHwndQueryRedirectionInfo

这里我们来分析下具体原因是什么, 首先我们找到一款名为: CrossFire的游戏，作为示例。

一通调试分析，找到如下代码

图片可能有点模糊，命中断点位置的代码是

cmp [esi+760],ebx 其中 esi+760 = 0xC2D4118

然而地址 0xC2D4118的值为0, 所以代码会 je D3D9.DLL+7C47

抛开这里往下看，如果没有 je D3D9.DLL+7C47

代码会走进这里

一路跟进去

再跟

最终来到了熟悉的泉水湾(呸)，是 NtUserHwndQueryRedirectionInfo

然而直接走到 D3D9.DLL+7C47 肯定不会经过 NtUserHwndQueryRedirectionInfo

最简单的解决方式肯定是直接把 je D3D9.DLL+7C47 nop，测试结果如下

很明显，改了之后加载驱动可以直接绘制上这个基佬色的方块

然而还原之后

绘制效果消失了

而且在 USER32.HungWindowFromGhostWindow+20处下断点是不会命中的（这不是废话吗）

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

最后于 2018-11-18 04:49 被万剑归宗编辑，原因：图挂了一张

上传的附件：

KernelDirect.zip （150.52kb，241次下载）

收藏・40

免费・6

支持

打赏 + 11.00雪花

一位没有留下痕迹的看雪读者

aabiaobiao

打赏次数 2

雪花 + 11.00

一位没有留下痕迹的看雪读者	+1.00	2018/11/28
aabiaobiao	+10.00	2018/11/23

最新回复 (17)
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 2 楼一楼 2018-11-17 18:38 3
亲嘴雪币：活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	亲嘴 3 楼二楼 2018-11-17 18:44 4
二娃雪币： 6314 活跃值： (952) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 56 粉丝 3 关注私信	二娃 4 楼我crossfire又做错了什么 2018-11-17 18:49 3
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 5 楼执行apc->被instrumentcallback捕获->shellcode被上传->三年大礼包被安排得明明白白 2018-11-17 19:10 5
HadesW 雪币： 9217 活跃值： (1886) 能力值： ( LV6，RANK：90 ) 在线值：发帖 2 回帖 54 粉丝 87 关注私信	HadesW 2 6 楼大佬,图挂了一个 2018-11-17 19:14 2
万剑归宗雪币： 914 活跃值： (2448) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 7 楼 hzqst 执行apc->被instrumentcallback捕获->shellcode被上传->三年大礼包被安排得明明白白 win7 x64系统的 wow64下 instrumentcallback不起作用 2018-11-17 19:23 3
qdjytony 雪币： 665 活跃值： (1051) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 85 粉丝 3 关注私信	qdjytony 8 楼果然基情慢慢 2018-11-17 20:18 2
Foodie 雪币： 4491 活跃值： (2484) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 3 关注私信	Foodie 9 楼大佬大佬 2018-11-18 09:25 2
小墨然呢雪币： 33 活跃值： (13) 能力值： ( LV2，RANK：16 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	小墨然呢 10 楼 2018-11-19 11:17 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 11 楼 hzqst 执行apc->被instrumentcallback捕获->shellcode被上传->三年大礼包被安排得明明白白 instrumentcallback似乎只对64位进程有效 2018-11-20 15:07 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 12 楼 D3DKMTPresent 这个函数进入内核之后，改变其 [esp+760] 的值为1 那么问题来了，D3DKMTPresent 调用什么函数进入内核？ 2018-11-20 15:28 0
寧靜致遠雪币： 244 活跃值： (454) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 457 粉丝 2 关注私信	寧靜致遠 13 楼我记得老V前几天发帖发码了内核绘制。 2018-11-21 13:56 1
ArryBoom 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	ArryBoom 14 楼 kernel mode driver manager楼主能分享一份吗，想看看IOCTL旁边这个单选框是干嘛用的 2018-11-21 14:27 0
aabiaobiao 雪币： 592 活跃值： (187) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 3 关注私信	aabiaobiao 15 楼大佬，求分享份完整代码研究，邮箱ouyang628@163.com 2018-11-23 17:09 0
wx_哈_658254 雪币： 1063 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_哈_658254 16 楼大佬的ce是哪里来的？可以发一份吗？ 2018-12-5 23:21 0
mb_dbdhdiov 雪币： 280 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	mb_dbdhdiov 18 楼大哥，怎么加你好友。加不上你啊。18279000092这是我微信，恳请你加下我 2020-7-17 20:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

万剑归宗

发帖

519

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 2 楼一楼 2018-11-17 18:38 3
亲嘴雪币：活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	亲嘴 3 楼二楼 2018-11-17 18:44 4
二娃雪币： 6314 活跃值： (952) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 56 粉丝 3 关注私信	二娃 4 楼我crossfire又做错了什么 2018-11-17 18:49 3
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 5 楼执行apc->被instrumentcallback捕获->shellcode被上传->三年大礼包被安排得明明白白 2018-11-17 19:10 5
HadesW 雪币： 9217 活跃值： (1886) 能力值： ( LV6，RANK：90 ) 在线值：发帖 2 回帖 54 粉丝 87 关注私信	HadesW 2 6 楼大佬,图挂了一个 2018-11-17 19:14 2
万剑归宗雪币： 914 活跃值： (2448) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 7 楼 hzqst 执行apc->被instrumentcallback捕获->shellcode被上传->三年大礼包被安排得明明白白 win7 x64系统的 wow64下 instrumentcallback不起作用 2018-11-17 19:23 3
qdjytony 雪币： 665 活跃值： (1051) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 85 粉丝 3 关注私信	qdjytony 8 楼果然基情慢慢 2018-11-17 20:18 2
Foodie 雪币： 4491 活跃值： (2484) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 3 关注私信	Foodie 9 楼大佬大佬 2018-11-18 09:25 2
小墨然呢雪币： 33 活跃值： (13) 能力值： ( LV2，RANK：16 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	小墨然呢 10 楼 2018-11-19 11:17 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 11 楼 hzqst 执行apc->被instrumentcallback捕获->shellcode被上传->三年大礼包被安排得明明白白 instrumentcallback似乎只对64位进程有效 2018-11-20 15:07 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 12 楼 D3DKMTPresent 这个函数进入内核之后，改变其 [esp+760] 的值为1 那么问题来了，D3DKMTPresent 调用什么函数进入内核？ 2018-11-20 15:28 0
寧靜致遠雪币： 244 活跃值： (454) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 457 粉丝 2 关注私信	寧靜致遠 13 楼我记得老V前几天发帖发码了内核绘制。 2018-11-21 13:56 1
ArryBoom 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	ArryBoom 14 楼 kernel mode driver manager楼主能分享一份吗，想看看IOCTL旁边这个单选框是干嘛用的 2018-11-21 14:27 0
aabiaobiao 雪币： 592 活跃值： (187) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 3 关注私信	aabiaobiao 15 楼大佬，求分享份完整代码研究，邮箱ouyang628@163.com 2018-11-23 17:09 0
wx_哈_658254 雪币： 1063 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_哈_658254 16 楼大佬的ce是哪里来的？可以发一份吗？ 2018-12-5 23:21 0
mb_dbdhdiov 雪币： 280 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	mb_dbdhdiov 18 楼大哥，怎么加你好友。加不上你啊。18279000092这是我微信，恳请你加下我 2020-7-17 20:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复