[原创]某地牛逼哄哄的内部辅X,通过进程断链让DWM复活-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]某地牛逼哄哄的内部辅X,通过进程断链让DWM复活

2021-12-25 02:11 16970

[原创]某地牛逼哄哄的内部辅X,通过进程断链让DWM复活

BDBig

2021-12-25 02:11

16970

、
前几天花巨资卖了据说稳定一年的某地AM 一看。好家伙，这就是国外大佬的项目吗？？？？易语言哈哈哈哈在这里不得不出易语言牛逼！！！！！
大概看了一下还是用的dwm。不过配合上了进程断链。顺便修改了文件名这完全自欺人。
这玩意手动@一下某BG 还不赶紧和谐吗？？？这游戏 3/2的所谓的内部辅X都是进程断链DWM。
说一下大概原理
OBJECT_HREAD 有一个标志标志标记进程正在退出然后断开句柄表就完事了。
直接上码，多的不BB。上码

(ULONG64 )((ULONG64)Eprocess - 0X30 + 0x1b) = 0x71; //进程退出

考研交流群:https://t.me/+2mbeZNruDIg0OGQx
吹水群：61895068

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#其他内容

上传的附件：

Diver.c （5.91kb，382次下载）

收藏・24

点赞・2

打赏

最新回复 (23)
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 109 粉丝 66 关注私信	BDBig 2021-12-25 02:13 2 楼 0 某外挂负责连夜发公告澄清:我们不用断链这么LOWB技术[狗头]
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 109 粉丝 66 关注私信	BDBig 2021-12-25 02:14 3 楼 0 修改路径由于时间问题没去实现
tmflxw 雪币： 710 活跃值： (2637) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 109 粉丝 18 关注私信	tmflxw 2021-12-25 03:55 4 楼 0 是断链还是抹句柄表啊，意思是改成正在退出标志后，不pg？？？
ZCindy 雪币： 12 活跃值： (553) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 4 关注私信	ZCindy 2021-12-25 12:00 5 楼 0 排除他这个断链，就本身驱动读写而言外部能稳定一年多已经很牛逼了
ZCindy 雪币： 12 活跃值： (553) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 4 关注私信	ZCindy 2021-12-25 12:01 6 楼 0 大牛分析下 AM这个驱动读写为什么一年多没被BE特征有啥诀窍
LiuLiu123 雪币： 2 活跃值： (173) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	LiuLiu123 2021-12-25 12:30 7 楼 0 易语言牛逼！
hzqst 雪币： 12839 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 540 关注私信	hzqst 3 2021-12-25 12:55 8 楼 0 dwm不是会被XE截图干碎
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 109 粉丝 66 关注私信	BDBig 2021-12-25 14:09 9 楼 0 hzqst dwm不是会被XE截图干碎 XE那玩意貌似是注入shellcode到 DWM里截图的然后取DWM的EPROCESS的方法比较LOW把
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 109 粉丝 66 关注私信	BDBig 2021-12-25 14:15 10 楼 0 ZCindy 排除他这个断链，就本身驱动读写而言外部能稳定一年多已经很牛逼了动态下发
如梦而醉雪币： 410 活跃值： (1163) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 19 关注私信	如梦而醉 2021-12-25 18:28 11 楼 0 跟了一下退出流程不止 \|= 0x71 还有\|= 2 跟4 ydark是置位4 ObpRemoveObjectRoutine 0x71 大概是这么个操作? +0x01b NewObject : 0y0 +0x01b KernelObject : 0y1 +0x01b KernelOnlyAccess : 0y1 +0x01b ExclusiveObject : 0y1 +0x01b PermanentObject : 0y0 +0x01b DefaultSecurityQuota : 0y0 +0x01b SingleHandleEntry : 0y0 +0x01b DeletedInline : 0y1 4的话只是置位了 +0x01b KernelObject : 0y1 最后于 2021-12-25 18:52 被如梦而醉编辑，原因： 1111
淡然他徒弟雪币： 5901 活跃值： (4482) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 199 粉丝 99 关注私信	淡然他徒弟 1 2021-12-25 21:30 12 楼 0 代理吹逼系列之《稳了一年》《内部》《云下发》《我们的驱动不存在于系统内》《军用级驱动护航》 ...
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 109 粉丝 66 关注私信	BDBig 2021-12-26 17:37 13 楼 0 淡然他徒弟代理吹逼系列之《稳了一年》《内部》《云下发》《我们的驱动不存在于系统内》《军用级驱动护航》 ... 你是拜登派来打牌的吧？
黑洛雪币： 6124 活跃值： (4106) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 582 粉丝 68 关注私信	黑洛 1 2021-12-26 21:49 14 楼 0 我怎么记得这是两年前的东西了，还有那工地英语，服了。
ZCindy 雪币： 12 活跃值： (553) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 4 关注私信	ZCindy 2021-12-27 11:12 15 楼 0 BDBig 动态下发云编译就能稳？
紫梦寒雪币： 43 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 65 粉丝 4 关注私信	紫梦寒 2021-12-28 12:22 16 楼 0 易语言大手子牛逼。某国大佬为了中国人能使用上他写的辅助，专门学习易语言。哈哈哈哈
还我六千雪币雪币： 755 活跃值： (3903) 能力值： ( LV6，RANK：98 ) 在线值：发帖 17 回帖 130 粉丝 25 关注私信	还我六千雪币 2021-12-28 12:36 17 楼 0 淡然他徒弟代理吹逼系列之《稳了一年》《内部》《云下发》《我们的驱动不存在于系统内》《军用级驱动护航》 ... 我不管我就要云下发
冷风Feng 雪币： 253 活跃值： (405) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	冷风Feng 2021-12-28 18:11 18 楼 0 某地：连夜更新
画画的baby 雪币： 451 活跃值： (342) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 1 关注私信	画画的baby 2022-3-11 17:54 19 楼 0 这明显是吃饱了翻桌子呀
mb_vmkgkbrm 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	mb_vmkgkbrm 2022-8-12 19:16 20 楼 0 BDBig 修改路径由于时间问题没去实现大牛能请教技术上一些问题吗？有偿咨询，望指点迷经～扣594157090
syser 雪币： 2648 活跃值： (3748) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 232 粉丝 7 关注私信	syser 2022-11-15 20:39 21 楼 0 ZCindy 大牛分析下 AM这个驱动读写为什么一年多没被BE特征有啥诀窍 ... 最后于 2023-9-15 00:02 被syser编辑，原因：
mb_oyechofa 雪币： 351 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	mb_oyechofa 2022-11-15 22:27 22 楼 0 能一份一下你的工具吗，
半斤而不八两雪币： 17 活跃值： (443) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	半斤而不八两 2023-9-14 21:24 23 楼 0 总结一下就是进程线程断链局部句柄表清除全局句柄表清除进程对象头Flag置位
逆向爱好者雪币： 861 活跃值： (3545) 能力值： ( LV3，RANK：20 ) 在线值：发帖 25 回帖 109 粉丝 17 关注私信	逆向爱好者 2023-9-14 23:10 24 楼 0 ZCindy 云编译就能稳？云编译加自动VMP
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

BDBig

发帖

109

回帖

RANK

关注

私信

他的文章

另一种DWMHOOK

[分享]监视SwapThread KeStackAttachProcess MmCopyVirtualMemory 读写分离系统版本小于2004 不能开启KVA

[原创]某地牛逼哄哄的内部辅X,通过进程断链让DWM复活

[原创]PasPg1903

[讨论]封存已久。。没啥用了。但是可以调试，JD反反调试.

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 109 粉丝 66 关注私信	BDBig 2021-12-25 02:13 2 楼 0 某外挂负责连夜发公告澄清:我们不用断链这么LOWB技术[狗头]
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 109 粉丝 66 关注私信	BDBig 2021-12-25 02:14 3 楼 0 修改路径由于时间问题没去实现
tmflxw 雪币： 710 活跃值： (2637) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 109 粉丝 18 关注私信	tmflxw 2021-12-25 03:55 4 楼 0 是断链还是抹句柄表啊，意思是改成正在退出标志后，不pg？？？
ZCindy 雪币： 12 活跃值： (553) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 4 关注私信	ZCindy 2021-12-25 12:00 5 楼 0 排除他这个断链，就本身驱动读写而言外部能稳定一年多已经很牛逼了
ZCindy 雪币： 12 活跃值： (553) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 4 关注私信	ZCindy 2021-12-25 12:01 6 楼 0 大牛分析下 AM这个驱动读写为什么一年多没被BE特征有啥诀窍
LiuLiu123 雪币： 2 活跃值： (173) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	LiuLiu123 2021-12-25 12:30 7 楼 0 易语言牛逼！
hzqst 雪币： 12839 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 540 关注私信	hzqst 3 2021-12-25 12:55 8 楼 0 dwm不是会被XE截图干碎
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 109 粉丝 66 关注私信	BDBig 2021-12-25 14:09 9 楼 0 hzqst dwm不是会被XE截图干碎 XE那玩意貌似是注入shellcode到 DWM里截图的然后取DWM的EPROCESS的方法比较LOW把
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 109 粉丝 66 关注私信	BDBig 2021-12-25 14:15 10 楼 0 ZCindy 排除他这个断链，就本身驱动读写而言外部能稳定一年多已经很牛逼了动态下发
如梦而醉雪币： 410 活跃值： (1163) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 19 关注私信	如梦而醉 2021-12-25 18:28 11 楼 0 跟了一下退出流程不止 \|= 0x71 还有\|= 2 跟4 ydark是置位4 ObpRemoveObjectRoutine 0x71 大概是这么个操作? +0x01b NewObject : 0y0 +0x01b KernelObject : 0y1 +0x01b KernelOnlyAccess : 0y1 +0x01b ExclusiveObject : 0y1 +0x01b PermanentObject : 0y0 +0x01b DefaultSecurityQuota : 0y0 +0x01b SingleHandleEntry : 0y0 +0x01b DeletedInline : 0y1 4的话只是置位了 +0x01b KernelObject : 0y1 最后于 2021-12-25 18:52 被如梦而醉编辑，原因： 1111
淡然他徒弟雪币： 5901 活跃值： (4482) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 199 粉丝 99 关注私信	淡然他徒弟 1 2021-12-25 21:30 12 楼 0 代理吹逼系列之《稳了一年》《内部》《云下发》《我们的驱动不存在于系统内》《军用级驱动护航》 ...
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 109 粉丝 66 关注私信	BDBig 2021-12-26 17:37 13 楼 0 淡然他徒弟代理吹逼系列之《稳了一年》《内部》《云下发》《我们的驱动不存在于系统内》《军用级驱动护航》 ... 你是拜登派来打牌的吧？
黑洛雪币： 6124 活跃值： (4106) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 582 粉丝 68 关注私信	黑洛 1 2021-12-26 21:49 14 楼 0 我怎么记得这是两年前的东西了，还有那工地英语，服了。
ZCindy 雪币： 12 活跃值： (553) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 4 关注私信	ZCindy 2021-12-27 11:12 15 楼 0 BDBig 动态下发云编译就能稳？
紫梦寒雪币： 43 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 65 粉丝 4 关注私信	紫梦寒 2021-12-28 12:22 16 楼 0 易语言大手子牛逼。某国大佬为了中国人能使用上他写的辅助，专门学习易语言。哈哈哈哈
还我六千雪币雪币： 755 活跃值： (3903) 能力值： ( LV6，RANK：98 ) 在线值：发帖 17 回帖 130 粉丝 25 关注私信	还我六千雪币 2021-12-28 12:36 17 楼 0 淡然他徒弟代理吹逼系列之《稳了一年》《内部》《云下发》《我们的驱动不存在于系统内》《军用级驱动护航》 ... 我不管我就要云下发
冷风Feng 雪币： 253 活跃值： (405) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	冷风Feng 2021-12-28 18:11 18 楼 0 某地：连夜更新
画画的baby 雪币： 451 活跃值： (342) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 1 关注私信	画画的baby 2022-3-11 17:54 19 楼 0 这明显是吃饱了翻桌子呀
mb_vmkgkbrm 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	mb_vmkgkbrm 2022-8-12 19:16 20 楼 0 BDBig 修改路径由于时间问题没去实现大牛能请教技术上一些问题吗？有偿咨询，望指点迷经～扣594157090
syser 雪币： 2648 活跃值： (3748) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 232 粉丝 7 关注私信	syser 2022-11-15 20:39 21 楼 0 ZCindy 大牛分析下 AM这个驱动读写为什么一年多没被BE特征有啥诀窍 ... 最后于 2023-9-15 00:02 被syser编辑，原因：
mb_oyechofa 雪币： 351 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	mb_oyechofa 2022-11-15 22:27 22 楼 0 能一份一下你的工具吗，
半斤而不八两雪币： 17 活跃值： (443) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	半斤而不八两 2023-9-14 21:24 23 楼 0 总结一下就是进程线程断链局部句柄表清除全局句柄表清除进程对象头Flag置位
逆向爱好者雪币： 861 活跃值： (3545) 能力值： ( LV3，RANK：20 ) 在线值：发帖 25 回帖 109 粉丝 17 关注私信	逆向爱好者 2023-9-14 23:10 24 楼 0 ZCindy 云编译就能稳？云编译加自动VMP
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复