-
-
[原创]某美CSGO对战平台驱动分析
-
发表于: 2022-2-14 14:30
-
首帖,写的不好的地方欢迎大佬指正。
1.1定位到入口函数
1.2 驱动初始化,下面是常规的线程进程模块加载,然后还使用FltCreateCommunicationPort注册了个通信方式传递消息。
补充:说一下线程/进程/模块监控这种保护的对抗思路(虽然可能你们都知道),以进程创建监控为例,在【ntoskrnl.exe】的分析文件中找到进程创建函数,在下面找到这个PspNotifyEnableMask,抹掉。
虽说上面补丁就可以过掉,但我们还是看下这个驱动在回调里做了什么
2.1 进程监控函数
看你是不是"csgo.exe"和"explorer.exe",看样子这里只是简单的字符串比对,看看是不是自己保护的程序,不是的话就监控你。
2.2 模块监控函数
看到红框圈出来的关键函数。
进去看看
GernericTableAvlCheckInsertAndRemove 白名单校验
FilterSendBufferWrapper 这个是通信
2.3 线程监控函数
进来先mdl读你的pe文件,然后查询你的模块信息
我们看下这个模块的查询函数 QueryModuleInfoAndCheck里面做了什么
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2022-2-14 18:37
被铜锣湾扛把子编辑
,原因: 更改标题
赞赏记录
参与人
雪币
留言
时间
一路南寻
感谢你的贡献,论坛因你而更加精彩!
2025-3-23 04:41
東陽不列山
感谢你的贡献,论坛因你而更加精彩!
2025-3-22 02:35
心游尘世外
感谢你的贡献,论坛因你而更加精彩!
2024-10-25 04:05
pysafe
为你点赞~
2023-5-6 10:41
伟叔叔
为你点赞~
2023-3-18 04:05
PLEBFE
为你点赞~
2023-1-12 19:50
嘤novation
为你点赞~
2022-7-9 15:42
豆大
为你点赞~
2022-2-24 13:07
_DriverEntry
为你点赞~
2022-2-14 19:06
铜锣湾扛把子
为你点赞~
2022-2-14 18:28
凌哥
为你点赞~
2022-2-14 17:27
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
加了,但没有完全加 |
|
|
大佬 能否具体说说思路 |
|
|
|
|
|
|
hzqst
