[原创]某南极动物厂AceXGame_sys_23.sys之InfinityHook （传统艺能copy-paste他来了）-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]某南极动物厂AceXGame_sys_23.sys之InfinityHook （传统艺能copy-paste他来了）

发表于: 2020-4-7 12:58 17473

[原创]某南极动物厂AceXGame_sys_23.sys之InfinityHook （传统艺能copy-paste他来了）

hzqst

2020-4-7 12:58

17473

还顺带支持vista我是没想到的

上集回顾： https://bbs.pediy.com/thread-258352.htm

从LOL玩家那边找到了不明驱动，不知道为什么笔者电脑上没有

有一说一2345也要占ifhook这个坑，他不怕我2345的吗？

dump出来修复IAT之后

搜索一下sig，参考上集

2345Base.sys!IfhpModifyTraceSettings

Property->Wnode.Flags = WNODE_FLAG_TRACED_GUID;

C7 ?? 2C 00 00 02 00

在AceXGame里也能直接搜到，而且唯一

貌似vmp的mutant效果不太行啊，F5还是直接出结果了

根据宏定义

#define EVENT_TRACE_FLAG_SYSTEMCALL 0x00000080 // system calls

#define EVENT_TRACE_FLAG_MEMORY_PAGE_FAULTS 0x00001000 // system calls

#define EVENT_TRACE_FLAG_CSWITCH 0x00000010 // system calls

#define EVENT_TRACE_FLAG_SYSTEMCALL 0x00000080 // system calls

#define EVENT_TRACE_FLAG_MEMORY_PAGE_FAULTS 0x00001000 // system calls

#define EVENT_TRACE_FLAG_CSWITCH 0x00000010 // system calls

我们可以看到它可选择监控三种事件

其中Ace_CSwitchPerLogEnable没有看到xref，应该是代码写一半注释掉了

猜测是南极动物厂的人想把hook kipagefault+fake cr3换成无需passpg的套路结果发现不行于是就删了

xref Ace_SyscallPerfLogEnable能看到三个引用，其中第一个是设置开启syscall监控的，第二个就是刚刚的modifytracesettings

第三个是接管syscall的handler函数

为什么这么说呢？因为

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

最后于 2020-4-7 14:59 被hzqst编辑，原因：

收藏・24

免费・8

支持

最新回复 (22)
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 2 楼 hook kipagefault+fake cr3肯定要passpg的之前鹅厂passpg是因为开了vt，如果主板bios关掉vt的话就没得搞了所以鹅厂的人想passpg又要顾及vt关闭的情况，这段代码应该只是个test 另外，hook xxxfault很容易造成stack overflow，特别是多核，触发频繁的情况下不是蓝屏就是double fault，甚至triple fault 2020-4-7 13:32 0
wowocock 雪币： 405 活跃值： (2285) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 3 楼基本这种是不会去卸载的，因为只要RESET 即可去除HOOK ,没必要去卸载冒着蓝屏的风险。考虑到新版本WIN 下这种方法失效，所以也没必要折腾了，还是老老实实的VT 的好。 2020-4-7 13:50 0
Sprite雪碧雪币： 9626 活跃值： (1838) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 4 楼牛逼嗷 2020-4-7 14:10 0
Lixinist 雪币： 9934 活跃值： (2554) 能力值： ( LV6，RANK：87 ) 在线值：发帖 13 回帖 350 粉丝 18 关注私信	Lixinist 1 5 楼如果是vmp3.x的mutation，被ida完美还原也是正常的 2020-4-7 14:30 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 6 楼这波啊，这波是 2020-4-7 14:38 0
zx_687333 雪币： 410 活跃值： (1168) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 20 关注私信	zx_687333 7 楼这个其实是QQ三国的驱动 2333 2020-4-7 15:39 0
lytywg 雪币： 668 活跃值： (1160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 69 粉丝 1 关注私信	lytywg 8 楼 QQ三国有驱动保护的价值吗，还是动物厂拿QQ三国玩家来做驱动实验的小白鼠 2020-4-7 16:12 0
hemdacker 雪币： 43 活跃值： (483) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 41 粉丝 0 关注私信	hemdacker 9 楼 niuX 2020-4-7 16:26 0
asd 雪币： 7146 活跃值： (3731) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 161 粉丝 1 关注私信	asd 10 楼 (传统艺能copy-paste他来了) 代码也写了版本也发了 2020-4-7 17:07 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 11 楼你用的是公司花钱买的的ida吗 vmp混淆一键f5 这么真实吗 2020-4-7 18:12 0
云才哥雪币： 222 活跃值： (185) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 279 粉丝 3 关注私信	云才哥 12 楼大表哥 F5玩溜的一批！6666666666 2020-4-7 22:14 0
syser 雪币： 3574 活跃值： (4719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 231 粉丝 8 关注私信	syser 13 楼 killpy 你用的是公司花钱买的的ida吗 vmp混淆一键f5 这么真实吗 VMP3.X的Mutant是废的 F5可以直接出来 2020-4-8 21:11 0
mydvdf 雪币： 711 活跃值： (253) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 2 关注私信	mydvdf 15 楼牛逼 2020-5-27 16:33 0
黑洛雪币： 6124 活跃值： (4661) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 16 楼 vmp3.x的Mutant等于没加，特别真实。 2020-6-2 15:20 0
flarejune 雪币： 688 活跃值： (204) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 100 粉丝 9 关注私信	flarejune 17 楼要不用错选项,要不用了"假货". 不用看F5,就看那些汇编指令,一看过去,全部是常用指令,人工都读起来都不费劲的,你们觉得这个是Mutant了? 说VMP3.X的Mutant是废的,我手上有几个VMP3混淆过的程序,恶心到XX好不. 最后于 2020-6-3 13:23 被flarejune编辑，原因： 2020-6-3 13:22 0
flarejune 雪币： 688 活跃值： (204) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 100 粉丝 9 关注私信	flarejune 18 楼稍微改进下,改为整个程序就一个函数,所有CALL使用JMP来模拟.IDA连段落都分不出了. 2020-6-3 13:35 0
看穿了说不得雪币： 131 活跃值： (30) 能力值： (RANK：0 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	看穿了说不得 19 楼不仅仅2345神奇,而且3456也很神奇. 2020-6-17 14:26 0
PitWL 雪币： 183 活跃值： (347) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	PitWL 20 楼 flarejune 稍微改进下,改为整个程序就一个函数,所有CALL使用JMP来模拟.IDA连段落都分不出了. 这个帖子指的是驱动上面的mutant，你就不要拿个exe来秀了最后于 2020-10-5 22:47 被PitWL编辑，原因： 2020-10-5 22:38 0
DriverUnload 雪币： 2047 活跃值： (1781) 能力值： ( LV6，RANK：80 ) 在线值：发帖 4 回帖 16 粉丝 13 关注私信	DriverUnload 1 21 楼 mark 2022-10-13 11:14 0
xnhlover 雪币： 162 活跃值： (132) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	xnhlover 22 楼什么vm,当我们菜鸡不懂?就没看到一条vm的指令,vm后的汇编代码有这么整洁?这些明文指令说白了,是个菜鸡二在ida下都能分析,整得这么高大上,高大上你得能分析真被vm后的东西 2022-10-14 11:28 0
xnhlover 雪币： 162 活跃值： (132) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	xnhlover 23 楼别动不动就是被vm,吓死我们菜鸡了 2022-10-14 11:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hzqst

发帖

1793

回帖

280

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 2 楼 hook kipagefault+fake cr3肯定要passpg的之前鹅厂passpg是因为开了vt，如果主板bios关掉vt的话就没得搞了所以鹅厂的人想passpg又要顾及vt关闭的情况，这段代码应该只是个test 另外，hook xxxfault很容易造成stack overflow，特别是多核，触发频繁的情况下不是蓝屏就是double fault，甚至triple fault 2020-4-7 13:32 0
wowocock 雪币： 405 活跃值： (2285) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 3 楼基本这种是不会去卸载的，因为只要RESET 即可去除HOOK ,没必要去卸载冒着蓝屏的风险。考虑到新版本WIN 下这种方法失效，所以也没必要折腾了，还是老老实实的VT 的好。 2020-4-7 13:50 0
Sprite雪碧雪币： 9626 活跃值： (1838) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 4 楼牛逼嗷 2020-4-7 14:10 0
Lixinist 雪币： 9934 活跃值： (2554) 能力值： ( LV6，RANK：87 ) 在线值：发帖 13 回帖 350 粉丝 18 关注私信	Lixinist 1 5 楼如果是vmp3.x的mutation，被ida完美还原也是正常的 2020-4-7 14:30 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 6 楼这波啊，这波是 2020-4-7 14:38 0
zx_687333 雪币： 410 活跃值： (1168) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 20 关注私信	zx_687333 7 楼这个其实是QQ三国的驱动 2333 2020-4-7 15:39 0
lytywg 雪币： 668 活跃值： (1160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 69 粉丝 1 关注私信	lytywg 8 楼 QQ三国有驱动保护的价值吗，还是动物厂拿QQ三国玩家来做驱动实验的小白鼠 2020-4-7 16:12 0
hemdacker 雪币： 43 活跃值： (483) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 41 粉丝 0 关注私信	hemdacker 9 楼 niuX 2020-4-7 16:26 0
asd 雪币： 7146 活跃值： (3731) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 161 粉丝 1 关注私信	asd 10 楼 (传统艺能copy-paste他来了) 代码也写了版本也发了 2020-4-7 17:07 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 11 楼你用的是公司花钱买的的ida吗 vmp混淆一键f5 这么真实吗 2020-4-7 18:12 0
云才哥雪币： 222 活跃值： (185) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 279 粉丝 3 关注私信	云才哥 12 楼大表哥 F5玩溜的一批！6666666666 2020-4-7 22:14 0
syser 雪币： 3574 活跃值： (4719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 231 粉丝 8 关注私信	syser 13 楼 killpy 你用的是公司花钱买的的ida吗 vmp混淆一键f5 这么真实吗 VMP3.X的Mutant是废的 F5可以直接出来 2020-4-8 21:11 0
mydvdf 雪币： 711 活跃值： (253) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 2 关注私信	mydvdf 15 楼牛逼 2020-5-27 16:33 0
黑洛雪币： 6124 活跃值： (4661) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 16 楼 vmp3.x的Mutant等于没加，特别真实。 2020-6-2 15:20 0
flarejune 雪币： 688 活跃值： (204) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 100 粉丝 9 关注私信	flarejune 17 楼要不用错选项,要不用了"假货". 不用看F5,就看那些汇编指令,一看过去,全部是常用指令,人工都读起来都不费劲的,你们觉得这个是Mutant了? 说VMP3.X的Mutant是废的,我手上有几个VMP3混淆过的程序,恶心到XX好不. 最后于 2020-6-3 13:23 被flarejune编辑，原因： 2020-6-3 13:22 0
flarejune 雪币： 688 活跃值： (204) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 100 粉丝 9 关注私信	flarejune 18 楼稍微改进下,改为整个程序就一个函数,所有CALL使用JMP来模拟.IDA连段落都分不出了. 2020-6-3 13:35 0
看穿了说不得雪币： 131 活跃值： (30) 能力值： (RANK：0 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	看穿了说不得 19 楼不仅仅2345神奇,而且3456也很神奇. 2020-6-17 14:26 0
PitWL 雪币： 183 活跃值： (347) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	PitWL 20 楼 flarejune 稍微改进下,改为整个程序就一个函数,所有CALL使用JMP来模拟.IDA连段落都分不出了. 这个帖子指的是驱动上面的mutant，你就不要拿个exe来秀了最后于 2020-10-5 22:47 被PitWL编辑，原因： 2020-10-5 22:38 0
DriverUnload 雪币： 2047 活跃值： (1781) 能力值： ( LV6，RANK：80 ) 在线值：发帖 4 回帖 16 粉丝 13 关注私信	DriverUnload 1 21 楼 mark 2022-10-13 11:14 0
xnhlover 雪币： 162 活跃值： (132) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	xnhlover 22 楼什么vm,当我们菜鸡不懂?就没看到一条vm的指令,vm后的汇编代码有这么整洁?这些明文指令说白了,是个菜鸡二在ida下都能分析,整得这么高大上,高大上你得能分析真被vm后的东西 2022-10-14 11:28 0
xnhlover 雪币： 162 活跃值： (132) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	xnhlover 23 楼别动不动就是被vm,吓死我们菜鸡了 2022-10-14 11:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复