首页
社区
课程
招聘
[原创]游戏安全之借坡下驴
发表于: 2022-5-18 05:29 31148

[原创]游戏安全之借坡下驴

2022-5-18 05:29
31148

exp: https://github.com/HadesW/mhy_exp

注:《借坡下驴》凭借有利的地势下驴。比喻利用有利条件行事。

    之前有介绍《借刀杀人》,指的是利用高权限的系统进程。这次《借坡下驴》,是利用了某游戏本身的驱动保护程序。

    此文主要是记录分析某款游戏驱动保护的r3-r0通讯算法。因为文章整理于作者2020年10月份左右的笔记,有点流水账,分析和利用的样本大概是2020年8月-9月份左右的。


样本文件详情如下:

文件名:xxxxxxxx.sys

大小: 1269880 bytes

修改时间: 2020年9月29日, 12:27:38

最开始,作者只是简单的关注了此驱动读写任意进程的功能。所以这里自底向上分析,通过基本的内核API分析其参数,然后查看其调用方如何把IoBuffer解析传入。

分析完后,其进程读写函数大概如下:

第一层调用:



第二层调用:

第三层调用:

dispatch call :  定位到读写IO码


最后的进程读写结构:

当时我有了读写结构之后,去做了demo调用,发现其通讯的数据是有加解密的,并且很多函数是有VMP过的。所以这里用动静结合的方式来还原算法。


1. 双机调试,下断其入口处,patch掉其反调试。

2. 定位其加解密Key初始化,下断单步,结合IDA观察传入数据的变化。

3. 根据一些经验猜测函数大概功能。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2022-5-18 10:41 被HadesW编辑 ,原因:
上传的附件:
收藏
免费 19
支持
分享
打赏 + 150.00雪花
打赏次数 1 雪花 + 150.00
 
赞赏  Editor   +150.00 2022/06/23 恭喜您获得“雪花”奖励,安全圈有你而精彩!
最新回复 (28)
雪    币: 458
活跃值: (1882)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
2
大哥牛皮
2022-5-18 09:19
0
雪    币: 3738
活跃值: (3872)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
666
2022-5-18 10:42
0
雪    币: 4491
活跃值: (2484)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
大哥牛皮
2022-5-18 11:11
0
雪    币: 73
活跃值: (3095)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
5
大哥666
2022-5-18 11:18
0
雪    币: 2134
活跃值: (3911)
能力值: ( LV4,RANK:55 )
在线值:
发帖
回帖
粉丝
6
牛批
2022-5-18 11:54
0
雪    币: 12848
活跃值: (9147)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
7
现在不是都mhyprot3.sys了吗
2022-5-18 12:45
0
雪    币: 6307
活跃值: (3837)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
MHY_IOCTL_INIT   这个是干什么的?
2022-5-18 14:31
0
雪    币: 210
活跃值: (1707)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
前排提示 米哈游驱动保护在疯狂招人
2022-5-18 14:41
0
雪    币: 6307
活跃值: (3837)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
MHY_IOCTL_INIT  这是进程线程回调吗?
2022-5-18 16:02
0
雪    币: 4749
活跃值: (4296)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
这么好玩。。。是因为这个驱动自带白名单签名的原因吧 稳定无检测
2022-5-18 17:52
0
雪    币: 1556
活跃值: (2297)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
hzqst 现在不是都mhyprot3.sys了吗
如果mhyprot3还有问题,那以后的mhy系列驱动都不会是白名单文件,现在mhy的驱动貌似已经被几家杀软拉灰了
2022-5-18 20:22
0
雪    币: 1556
活跃值: (2297)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
hzqst 现在不是都mhyprot3.sys了吗

已经被人玩了一年以上了

最后于 2022-5-18 20:30 被killleer编辑 ,原因:
2022-5-18 20:29
0
雪    币: 206
活跃值: (2594)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
14
这不是峰哥么...
2022-5-18 22:08
0
雪    币: 4462
活跃值: (6711)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
什么时候才能追上你这技术水平。
2022-5-19 11:24
0
雪    币: 515
活跃值: (3272)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wem
16
mark
2022-5-21 18:40
0
雪    币: 201
活跃值: (543)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
看着像原神游戏的驱动.
2022-5-22 10:35
0
雪    币: 6124
活跃值: (4661)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
18
这mhy的驱动怎么一股大手子味?
2022-5-23 20:06
0
雪    币: 1556
活跃值: (2297)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
黑洛 这mhy的驱动怎么一股大手子味?
不要怎么,就是,都泛滥了
2022-5-23 23:03
0
雪    币: 3409
活跃值: (2666)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
20
之前原神上线没多久就有在UC论坛看到了利用帖子。感觉这就像是野生的被招安的写法一样,格外粗犷。
2022-5-24 17:06
0
雪    币: 12848
活跃值: (9147)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
21
黑洛 这mhy的驱动怎么一股大手子味?
我的评价是不如顺网读写.sys,那个才叫真·大手子,哪个函数是干嘛的都在函数入口给你log写明白咯
2022-5-24 21:38
0
雪    币: 422
活跃值: (2186)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
22
hzqst 我的评价是不如顺网读写.sys,那个才叫真·大手子,哪个函数是干嘛的都在函数入口给你log写明白咯
又黑我山总
2022-5-25 23:06
0
雪    币: 422
活跃值: (2186)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
23
黑洛 这mhy的驱动怎么一股大手子味?
相信自己,就是
2022-5-25 23:06
0
雪    币: 147
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
24
为啥wpm无法写入数据
2022-7-26 15:45
0
雪    币: 2565
活跃值: (1880)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
大佬66666666
2022-7-26 17:47
0
游客
登录 | 注册 方可回帖
返回
//