[原创]某地牛逼哄哄的内部辅X,通过进程断链让DWM复活-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]某地牛逼哄哄的内部辅X,通过进程断链让DWM复活

发表于: 2021-12-25 02:11 18301

[原创]某地牛逼哄哄的内部辅X,通过进程断链让DWM复活

BDBig

2021-12-25 02:11

18301

、
前几天花巨资卖了据说稳定一年的某地AM 一看。好家伙，这就是国外大佬的项目吗？？？？易语言哈哈哈哈在这里不得不出易语言牛逼！！！！！
大概看了一下还是用的dwm。不过配合上了进程断链。顺便修改了文件名这完全自欺人。
这玩意手动@一下某BG 还不赶紧和谐吗？？？这游戏 3/2的所谓的内部辅X都是进程断链DWM。
说一下大概原理
OBJECT_HREAD 有一个标志标志标记进程正在退出然后断开句柄表就完事了。
直接上码，多的不BB。上码

(ULONG64 )((ULONG64)Eprocess - 0X30 + 0x1b) = 0x71; //进程退出

考研交流群:https://t.me/+2mbeZNruDIg0OGQx
吹水群：61895068

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#其他内容

上传的附件：

Diver.c （5.91kb，395次下载）

收藏・24

免费・2

支持

最新回复 (23)
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 2 楼某外挂负责连夜发公告澄清:我们不用断链这么LOWB技术[狗头] 2021-12-25 02:13 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 3 楼修改路径由于时间问题没去实现 2021-12-25 02:14 0
tmflxw 雪币： 1510 活跃值： (3407) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 117 粉丝 19 关注私信	tmflxw 4 楼是断链还是抹句柄表啊，意思是改成正在退出标志后，不pg？？？ 2021-12-25 03:55 0
ZCindy 雪币： 12 活跃值： (553) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 4 关注私信	ZCindy 5 楼排除他这个断链，就本身驱动读写而言外部能稳定一年多已经很牛逼了 2021-12-25 12:00 0
ZCindy 雪币： 12 活跃值： (553) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 4 关注私信	ZCindy 6 楼大牛分析下 AM这个驱动读写为什么一年多没被BE特征有啥诀窍 2021-12-25 12:01 0
LiuLiu123 雪币： 2 活跃值： (233) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	LiuLiu123 7 楼易语言牛逼！ 2021-12-25 12:30 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 8 楼 dwm不是会被XE截图干碎 2021-12-25 12:55 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 9 楼 hzqst dwm不是会被XE截图干碎 XE那玩意貌似是注入shellcode到 DWM里截图的然后取DWM的EPROCESS的方法比较LOW把 2021-12-25 14:09 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 10 楼 ZCindy 排除他这个断链，就本身驱动读写而言外部能稳定一年多已经很牛逼了动态下发 2021-12-25 14:15 0
zx_687333 雪币： 410 活跃值： (1168) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 20 关注私信	zx_687333 11 楼跟了一下退出流程不止 \|= 0x71 还有\|= 2 跟4 ydark是置位4 ObpRemoveObjectRoutine 0x71 大概是这么个操作? +0x01b NewObject : 0y0 +0x01b KernelObject : 0y1 +0x01b KernelOnlyAccess : 0y1 +0x01b ExclusiveObject : 0y1 +0x01b PermanentObject : 0y0 +0x01b DefaultSecurityQuota : 0y0 +0x01b SingleHandleEntry : 0y0 +0x01b DeletedInline : 0y1 4的话只是置位了 +0x01b KernelObject : 0y1 最后于 2021-12-25 18:52 被zx_687333编辑，原因： 1111 2021-12-25 18:28 0
淡然他徒弟雪币： 6166 活跃值： (4922) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 220 粉丝 105 关注私信	淡然他徒弟 1 12 楼代理吹逼系列之《稳了一年》《内部》《云下发》《我们的驱动不存在于系统内》《军用级驱动护航》 ... 2021-12-25 21:30 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 13 楼淡然他徒弟代理吹逼系列之《稳了一年》《内部》《云下发》《我们的驱动不存在于系统内》《军用级驱动护航》 ... 你是拜登派来打牌的吧？ 2021-12-26 17:37 0
黑洛雪币： 6124 活跃值： (4656) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 14 楼我怎么记得这是两年前的东西了，还有那工地英语，服了。 2021-12-26 21:49 0
ZCindy 雪币： 12 活跃值： (553) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 4 关注私信	ZCindy 15 楼 BDBig 动态下发云编译就能稳？ 2021-12-27 11:12 0
紫梦寒雪币： 43 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 67 粉丝 4 关注私信	紫梦寒 16 楼易语言大手子牛逼。某国大佬为了中国人能使用上他写的辅助，专门学习易语言。哈哈哈哈 2021-12-28 12:22 0
还我六千雪币雪币： 889 活跃值： (4118) 能力值： ( LV6，RANK：98 ) 在线值：发帖 21 回帖 146 粉丝 27 关注私信	还我六千雪币 17 楼淡然他徒弟代理吹逼系列之《稳了一年》《内部》《云下发》《我们的驱动不存在于系统内》《军用级驱动护航》 ... 我不管我就要云下发 2021-12-28 12:36 0
冷风Feng 雪币： 253 活跃值： (490) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	冷风Feng 18 楼某地：连夜更新 2021-12-28 18:11 0
画画的baby 雪币： 451 活跃值： (342) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 1 关注私信	画画的baby 19 楼这明显是吃饱了翻桌子呀 2022-3-11 17:54 0
mb_vmkgkbrm 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	mb_vmkgkbrm 20 楼 BDBig 修改路径由于时间问题没去实现大牛能请教技术上一些问题吗？有偿咨询，望指点迷经～扣594157090 2022-8-12 19:16 0
syser 雪币： 3552 活跃值： (4694) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 231 粉丝 8 关注私信	syser 21 楼 ZCindy 大牛分析下 AM这个驱动读写为什么一年多没被BE特征有啥诀窍 ... 最后于 2023-9-15 00:02 被syser编辑，原因： 2022-11-15 20:39 0
mb_oyechofa 雪币： 351 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	mb_oyechofa 22 楼能一份一下你的工具吗， 2022-11-15 22:27 0
半斤而不八两雪币： 17 活跃值： (528) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 10 粉丝 0 关注私信	半斤而不八两 23 楼总结一下就是进程线程断链局部句柄表清除全局句柄表清除进程对象头Flag置位 2023-9-14 21:24 0
逆向爱好者雪币： 1529 活跃值： (4573) 能力值： ( LV3，RANK：20 ) 在线值：发帖 29 回帖 172 粉丝 22 关注私信	逆向爱好者 24 楼 ZCindy 云编译就能稳？云编译加自动VMP 2023-9-14 23:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

BDBig

发帖

124

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 2 楼某外挂负责连夜发公告澄清:我们不用断链这么LOWB技术[狗头] 2021-12-25 02:13 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 3 楼修改路径由于时间问题没去实现 2021-12-25 02:14 0
tmflxw 雪币： 1510 活跃值： (3407) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 117 粉丝 19 关注私信	tmflxw 4 楼是断链还是抹句柄表啊，意思是改成正在退出标志后，不pg？？？ 2021-12-25 03:55 0
ZCindy 雪币： 12 活跃值： (553) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 4 关注私信	ZCindy 5 楼排除他这个断链，就本身驱动读写而言外部能稳定一年多已经很牛逼了 2021-12-25 12:00 0
ZCindy 雪币： 12 活跃值： (553) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 4 关注私信	ZCindy 6 楼大牛分析下 AM这个驱动读写为什么一年多没被BE特征有啥诀窍 2021-12-25 12:01 0
LiuLiu123 雪币： 2 活跃值： (233) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	LiuLiu123 7 楼易语言牛逼！ 2021-12-25 12:30 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 8 楼 dwm不是会被XE截图干碎 2021-12-25 12:55 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 9 楼 hzqst dwm不是会被XE截图干碎 XE那玩意貌似是注入shellcode到 DWM里截图的然后取DWM的EPROCESS的方法比较LOW把 2021-12-25 14:09 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 10 楼 ZCindy 排除他这个断链，就本身驱动读写而言外部能稳定一年多已经很牛逼了动态下发 2021-12-25 14:15 0
zx_687333 雪币： 410 活跃值： (1168) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 20 关注私信	zx_687333 11 楼跟了一下退出流程不止 \|= 0x71 还有\|= 2 跟4 ydark是置位4 ObpRemoveObjectRoutine 0x71 大概是这么个操作? +0x01b NewObject : 0y0 +0x01b KernelObject : 0y1 +0x01b KernelOnlyAccess : 0y1 +0x01b ExclusiveObject : 0y1 +0x01b PermanentObject : 0y0 +0x01b DefaultSecurityQuota : 0y0 +0x01b SingleHandleEntry : 0y0 +0x01b DeletedInline : 0y1 4的话只是置位了 +0x01b KernelObject : 0y1 最后于 2021-12-25 18:52 被zx_687333编辑，原因： 1111 2021-12-25 18:28 0
淡然他徒弟雪币： 6166 活跃值： (4922) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 220 粉丝 105 关注私信	淡然他徒弟 1 12 楼代理吹逼系列之《稳了一年》《内部》《云下发》《我们的驱动不存在于系统内》《军用级驱动护航》 ... 2021-12-25 21:30 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 13 楼淡然他徒弟代理吹逼系列之《稳了一年》《内部》《云下发》《我们的驱动不存在于系统内》《军用级驱动护航》 ... 你是拜登派来打牌的吧？ 2021-12-26 17:37 0
黑洛雪币： 6124 活跃值： (4656) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 14 楼我怎么记得这是两年前的东西了，还有那工地英语，服了。 2021-12-26 21:49 0
ZCindy 雪币： 12 活跃值： (553) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 4 关注私信	ZCindy 15 楼 BDBig 动态下发云编译就能稳？ 2021-12-27 11:12 0
紫梦寒雪币： 43 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 67 粉丝 4 关注私信	紫梦寒 16 楼易语言大手子牛逼。某国大佬为了中国人能使用上他写的辅助，专门学习易语言。哈哈哈哈 2021-12-28 12:22 0
还我六千雪币雪币： 889 活跃值： (4118) 能力值： ( LV6，RANK：98 ) 在线值：发帖 21 回帖 146 粉丝 27 关注私信	还我六千雪币 17 楼淡然他徒弟代理吹逼系列之《稳了一年》《内部》《云下发》《我们的驱动不存在于系统内》《军用级驱动护航》 ... 我不管我就要云下发 2021-12-28 12:36 0
冷风Feng 雪币： 253 活跃值： (490) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	冷风Feng 18 楼某地：连夜更新 2021-12-28 18:11 0
画画的baby 雪币： 451 活跃值： (342) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 1 关注私信	画画的baby 19 楼这明显是吃饱了翻桌子呀 2022-3-11 17:54 0
mb_vmkgkbrm 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	mb_vmkgkbrm 20 楼 BDBig 修改路径由于时间问题没去实现大牛能请教技术上一些问题吗？有偿咨询，望指点迷经～扣594157090 2022-8-12 19:16 0
syser 雪币： 3552 活跃值： (4694) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 231 粉丝 8 关注私信	syser 21 楼 ZCindy 大牛分析下 AM这个驱动读写为什么一年多没被BE特征有啥诀窍 ... 最后于 2023-9-15 00:02 被syser编辑，原因： 2022-11-15 20:39 0
mb_oyechofa 雪币： 351 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	mb_oyechofa 22 楼能一份一下你的工具吗， 2022-11-15 22:27 0
半斤而不八两雪币： 17 活跃值： (528) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 10 粉丝 0 关注私信	半斤而不八两 23 楼总结一下就是进程线程断链局部句柄表清除全局句柄表清除进程对象头Flag置位 2023-9-14 21:24 0
逆向爱好者雪币： 1529 活跃值： (4573) 能力值： ( LV3，RANK：20 ) 在线值：发帖 29 回帖 172 粉丝 22 关注私信	逆向爱好者 24 楼 ZCindy 云编译就能稳？云编译加自动VMP 2023-9-14 23:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复