首页
社区
课程
招聘
[原创]某神的驱动进程保护
发表于: 2021-10-3 17:11 13181

[原创]某神的驱动进程保护

2021-10-3 17:11
13181

一、某神的进程保护

    尝试对某神的游戏主进程YuanShen.exe使用CE扫数据,发现CE可以打开YuanShen.exe但无法进行数据扫描,于是在驱动mhyprot2.sys中发现了进程保护代码。

    mhyprot2.sys的进程保护是通过添加一个句柄回调,当打开的句柄是YuanShen.exe的线程句柄时就对权限进行限制,使用ida进行逆向句柄回调代码如下:

    

    如上图所示,它会判断线程所属进程的EPROCESS地址是否是原神的EPROCESS地址,如果是的话就对权限进行限制。


二、解决方法

    如上图所示,g_YuanShen_ProcessId是个全局变量,表示YuanShen.exe的进程号,是"mhyprot2.sys+0xA688"开始的四字节数据,将这个地址处的进程号改为错误值,就可以去掉进程保护。


三、实践

    我写了个驱动在禁止强制签名模式下修改这个全局变量,并成功使用CE进行扫数据,并且也可以开启DBVM模式内核调试进程YuanShen.exe,经过尝试,目前可以修改一些UI上的数据(但这也只是UI的,不是后台的......)


[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!

最后于 2021-10-3 19:41 被TechForBad编辑 ,原因:
收藏
免费 2
支持
分享
最新回复 (11)
雪    币: 6124
活跃值: (4726)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
2
驱动和r3没通讯吗?
2021-10-3 23:54
0
雪    币: 4093
活跃值: (4267)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
3
黑洛 驱动和r3没通讯吗?
有通信
2021-10-4 10:53
0
雪    币: 1556
活跃值: (2312)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
惨,某神驱动VT一大把一大把的被人上传

你们也太狂了
2021-10-4 12:00
0
雪    币: 4093
活跃值: (4267)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
5
killleer 惨,某神驱动VT一大把一大把的被人上传[em_33][em_37] 你们也太狂了[em_38]
在哪上传?
2021-10-4 17:03
0
雪    币: 12857
活跃值: (9172)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
6
昵称好麻烦 在哪上传?
virustotal
2021-10-5 09:16
0
雪    币: 4794
活跃值: (4494)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
这驱动是没有被vm吗
2021-10-5 09:54
0
雪    币: 4093
活跃值: (4267)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
8
木志本柯 这驱动是没有被vm吗
vm了,但是这一段代码没有vm,可能是考虑了下运行效率吧
2021-10-5 11:05
0
雪    币: 44
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
9
g_YuanShen_ProcessId = 自己想保护的进程ID 运行起来会不会保护起来
2021-10-5 18:15
0
雪    币: 9785
活跃值: (4608)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
其实可以把CE改成csrss启动System就过了
2021-10-5 18:23
1
雪    币: 1290
活跃值: (2332)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
11
哈哈,原神真惨
2021-10-6 13:32
0
雪    币: 6124
活跃值: (4726)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
12
乌拉! g_YuanShen_ProcessId = 自己想保护的进程ID 运行起来会不会保护起来[em_87]
会的
2021-10-6 17:46
0
游客
登录 | 注册 方可回帖
返回
//