首页
社区
课程
招聘
[原创]某美CSGO对战平台驱动分析
发表于: 2022-2-14 14:30 23594

[原创]某美CSGO对战平台驱动分析

2022-2-14 14:30
23594

首帖,写的不好的地方欢迎大佬指正。

1.1定位到入口函数
图片描述

1.2 驱动初始化,下面是常规的线程进程模块加载,然后还使用FltCreateCommunicationPort注册了个通信方式传递消息。
图片描述
补充:说一下线程/进程/模块监控这种保护的对抗思路(虽然可能你们都知道),以进程创建监控为例,在【ntoskrnl.exe】的分析文件中找到进程创建函数,在下面找到这个PspNotifyEnableMask,抹掉。
图片描述

虽说上面补丁就可以过掉,但我们还是看下这个驱动在回调里做了什么

2.1 进程监控函数
看你是不是"csgo.exe"和"explorer.exe",看样子这里只是简单的字符串比对,看看是不是自己保护的程序,不是的话就监控你。
图片描述
图片描述
2.2 模块监控函数
看到红框圈出来的关键函数。
图片描述
进去看看
图片描述

GernericTableAvlCheckInsertAndRemove 白名单校验
图片描述
FilterSendBufferWrapper 这个是通信
图片描述

2.3 线程监控函数
进来先mdl读你的pe文件,然后查询你的模块信息
图片描述
我们看下这个模块的查询函数 QueryModuleInfoAndCheck里面做了什么
图片描述


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2022-2-14 18:37 被铜锣湾扛把子编辑 ,原因: 更改标题
收藏
免费 9
支持
分享
最新回复 (8)
雪    币: 865
活跃值: (1613)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
2
继续继续,好帖
2022-2-14 17:27
0
雪    币: 433
活跃值: (1900)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
3
兄弟,你真刑啊
2022-2-14 21:11
0
雪    币: 6664
活跃值: (957)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
样本也发下啊。
2022-2-15 06:35
0
雪    币: 8
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
5
驱动不都是加壳vm了吗 大佬怎么弄的
2022-5-12 19:39
0
雪    币: 12848
活跃值: (9142)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
6
mb_punpkihu 驱动不都是加壳vm了吗 大佬怎么弄的
加了,但没有完全加
2022-5-12 19:51
0
雪    币: 51
活跃值: (124)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
hzqst 加了,但没有完全加
大佬 能否具体说说思路
2022-7-9 09:32
0
雪    币: 20
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
8
不错不错
2023-1-13 23:21
0
雪    币: 29
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
9
厉害的
2023-5-17 15:17
0
游客
登录 | 注册 方可回帖
返回
//