-
-
[原创]某神的驱动进程保护
-
发表于:
2021-10-3 17:11
13181
-
一、某神的进程保护
尝试对某神的游戏主进程YuanShen.exe使用CE扫数据,发现CE可以打开YuanShen.exe但无法进行数据扫描,于是在驱动mhyprot2.sys中发现了进程保护代码。
mhyprot2.sys的进程保护是通过添加一个句柄回调,当打开的句柄是YuanShen.exe的线程句柄时就对权限进行限制,使用ida进行逆向句柄回调代码如下:
如上图所示,它会判断线程所属进程的EPROCESS地址是否是原神的EPROCESS地址,如果是的话就对权限进行限制。
二、解决方法
如上图所示,g_YuanShen_ProcessId是个全局变量,表示YuanShen.exe的进程号,是"mhyprot2.sys+0xA688"开始的四字节数据,将这个地址处的进程号改为错误值,就可以去掉进程保护。
三、实践
我写了个驱动在禁止强制签名模式下修改这个全局变量,并成功使用CE进行扫数据,并且也可以开启DBVM模式内核调试进程YuanShen.exe,经过尝试,目前可以修改一些UI上的数据(但这也只是UI的,不是后台的......)
[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!
最后于 2021-10-3 19:41
被TechForBad编辑
,原因: