[原创]某美CSGO对战平台驱动分析

发表于: 2022-2-14 14:30 23301

[原创]某美CSGO对战平台驱动分析

铜锣湾扛把子

活跃值

2022-2-14 14:30

23301

首帖，写的不好的地方欢迎大佬指正。

1.入口点的定位

1.1定位到入口函数
图片描述

1.2 驱动初始化，下面是常规的线程进程模块加载，然后还使用FltCreateCommunicationPort注册了个通信方式传递消息。
图片描述
补充：说一下线程/进程/模块监控这种保护的对抗思路（虽然可能你们都知道），以进程创建监控为例,在【ntoskrnl.exe】的分析文件中找到进程创建函数，在下面找到这个PspNotifyEnableMask，抹掉。

虽说上面补丁就可以过掉，但我们还是看下这个驱动在回调里做了什么

2.进程/线程/模块监控

2.1 进程监控函数
看你是不是"csgo.exe"和"explorer.exe"，看样子这里只是简单的字符串比对，看看是不是自己保护的程序，不是的话就监控你。
图片描述

2.2 模块监控函数
看到红框圈出来的关键函数。

进去看看

GernericTableAvlCheckInsertAndRemove 白名单校验
图片描述
FilterSendBufferWrapper 这个是通信

2.3 线程监控函数
进来先mdl读你的pe文件，然后查询你的模块信息
图片描述
我们看下这个模块的查询函数 QueryModuleInfoAndCheck里面做了什么

3.上传未知模块信息的函数 R3ReadCheckPeFile1

图片描述

4.CreateThread函数

图片描述
ThreadFunc 跟到底，观察到他从IRP中读了数据。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

最后于 2022-2-14 18:37 被铜锣湾扛把子编辑，原因：更改标题

#系统内核 #驱动开发

收藏・23

免费・8

支持

分享

最新回复 (8)
凌哥雪币： 861 活跃值： (1598) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 48 粉丝 14 关注私信	凌哥 2 楼继续继续，好帖 2022-2-14 17:27 0
萌克力雪币： 433 活跃值： (1895) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 32 关注私信	萌克力 3 楼兄弟，你真刑啊 2022-2-14 21:11 0
kingswb 雪币： 6664 活跃值： (947) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 177 粉丝 0 关注私信	kingswb 4 楼样本也发下啊。 2022-2-15 06:35 0
mb_punpkihu 雪币： 8 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	mb_punpkihu 5 楼驱动不都是加壳vm了吗大佬怎么弄的 2022-5-12 19:39 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 6 楼 mb_punpkihu 驱动不都是加壳vm了吗大佬怎么弄的加了，但没有完全加 2022-5-12 19:51 0
嘤novation 雪币： 51 活跃值： (124) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	嘤novation 7 楼 hzqst 加了，但没有完全加大佬能否具体说说思路 2022-7-9 09:32 0
wx_Ruiny 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wx_Ruiny 8 楼不错不错 2023-1-13 23:21 0
win_小火龙雪币： 29 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	win_小火龙 9 楼厉害的 2023-5-17 15:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

铜锣湾扛把子

发帖

回帖

RANK

他的文章

[原创]某美CSGO对战平台驱动分析 23302

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//