-
-
[原创]某美CSGO对战平台驱动分析
-
发表于:
2022-2-14 14:30
23594
-
首帖,写的不好的地方欢迎大佬指正。
1.1定位到入口函数
1.2 驱动初始化,下面是常规的线程进程模块加载,然后还使用FltCreateCommunicationPort注册了个通信方式传递消息。
补充:说一下线程/进程/模块监控这种保护的对抗思路(虽然可能你们都知道),以进程创建监控为例,在【ntoskrnl.exe】的分析文件中找到进程创建函数,在下面找到这个PspNotifyEnableMask,抹掉。
虽说上面补丁就可以过掉,但我们还是看下这个驱动在回调里做了什么
2.1 进程监控函数
看你是不是"csgo.exe"和"explorer.exe",看样子这里只是简单的字符串比对,看看是不是自己保护的程序,不是的话就监控你。
2.2 模块监控函数
看到红框圈出来的关键函数。
进去看看
GernericTableAvlCheckInsertAndRemove 白名单校验
FilterSendBufferWrapper 这个是通信
2.3 线程监控函数
进来先mdl读你的pe文件,然后查询你的模块信息
我们看下这个模块的查询函数 QueryModuleInfoAndCheck里面做了什么
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
最后于 2022-2-14 18:37
被铜锣湾扛把子编辑
,原因: 更改标题