[原创]游戏安全之借坡下驴-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]游戏安全之借坡下驴

发表于: 2022-5-18 05:29 31699

[原创]游戏安全之借坡下驴

HadesW

2022-5-18 05:29

31699

exp： https://github.com/HadesW/mhy_exp

注：《借坡下驴》凭借有利的地势下驴。比喻利用有利条件行事。

之前有介绍《借刀杀人》，指的是利用高权限的系统进程。这次《借坡下驴》，是利用了某游戏本身的驱动保护程序。

此文主要是记录分析某款游戏驱动保护的r3-r0通讯算法。因为文章整理于作者2020年10月份左右的笔记，有点流水账，分析和利用的样本大概是2020年8月-9月份左右的。

样本文件详情如下：

文件名：xxxxxxxx.sys

大小: 1269880 bytes

修改时间: 2020年9月29日, 12:27:38

最开始，作者只是简单的关注了此驱动读写任意进程的功能。所以这里自底向上分析，通过基本的内核API分析其参数，然后查看其调用方如何把IoBuffer解析传入。

分析完后，其进程读写函数大概如下：

第一层调用：

第二层调用：

第三层调用：

dispatch call : 定位到读写IO码

最后的进程读写结构：

当时我有了读写结构之后，去做了demo调用，发现其通讯的数据是有加解密的，并且很多函数是有VMP过的。所以这里用动静结合的方式来还原算法。

1. 双机调试，下断其入口处，patch掉其反调试。

2. 定位其加解密Key初始化，下断单步，结合IDA观察传入数据的变化。

3. 根据一些经验猜测函数大概功能。

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2022-5-18 10:41 被HadesW编辑，原因：

#调试逆向 #系统底层 #软件保护 #VM保护 #加密算法 #病毒木马

上传的附件：

Video_20220517133930.wmv （2.78MB，146次下载）

收藏・65

免费・19

支持

赞赏记录

参与人

雪币

留言

时间

tank小王子

感谢你的积极参与，期待更多精彩内容！

2024-8-12 10:17

freenow

为你点赞~

2023-12-23 16:04

mb_yfioexda

为你点赞~

2023-8-22 11:04

伟叔叔

为你点赞~

2023-3-18 02:24

shishichen

为你点赞~

2023-1-4 22:29

vxyun

为你点赞~

2022-12-2 18:45

xmyxxh

为你点赞~

2022-11-11 01:52

zhczf

为你点赞~

2022-10-13 13:51

zhang_derek

为你点赞~

2022-8-28 00:52

PLEBFE

为你点赞~

2022-7-27 00:40

心游尘世外

为你点赞~

2022-7-26 22:34

飘零丶

为你点赞~

2022-7-17 02:28

夏男人

为你点赞~

2022-6-22 20:02

kira_yamato

为你点赞~

2022-5-23 23:26

大道在我

为你点赞~

2022-5-20 16:12

ZZIISSIN

为你点赞~

2022-5-18 18:22

_DriverEntry

为你点赞~

2022-5-18 11:39

Foodie

为你点赞~

2022-5-18 11:11

imwhite

为你点赞~

2022-5-18 10:01

打赏 + 150.00雪花

Editor

打赏次数 1

雪花 + 150.00

收起

Editor

+150.00

2022/06/23

恭喜您获得“雪花”奖励，安全圈有你而精彩！

最新回复 (28) 1 2 ▶
renbohan 雪币： 458 活跃值： (1932) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 41 粉丝 43 关注私信	renbohan 2 楼大哥牛皮 2022-5-18 09:19 0
fengyunabc 雪币： 4011 活跃值： (4277) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 542 粉丝 27 关注私信	fengyunabc 1 3 楼 666 2022-5-18 10:42 0
Foodie 雪币： 4491 活跃值： (2494) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 3 关注私信	Foodie 4 楼大哥牛皮 2022-5-18 11:11 0
不懂就不懂雪币： 63 活跃值： (3170) 能力值： ( LV7，RANK：110 ) 在线值：发帖 7 回帖 57 粉丝 33 关注私信	不懂就不懂 2 5 楼大哥666 2022-5-18 11:18 0
Jev0n 雪币： 2134 活跃值： (3911) 能力值： ( LV4，RANK：55 ) 在线值：发帖 4 回帖 58 粉丝 32 关注私信	Jev0n 6 楼牛批 2022-5-18 11:54 0
hzqst 雪币： 12862 活跃值： (9302) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 595 关注私信	hzqst 3 7 楼现在不是都mhyprot3.sys了吗 2022-5-18 12:45 0
大鲤鱼雪币： 6564 活跃值： (4082) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 8 楼 MHY_IOCTL_INIT 这个是干什么的？ 2022-5-18 14:31 0
wx_0xC05StackOver 雪币： 208 活跃值： (1953) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 116 粉丝 13 关注私信	wx_0xC05StackOver 9 楼前排提示米哈游驱动保护在疯狂招人 2022-5-18 14:41 0
大鲤鱼雪币： 6564 活跃值： (4082) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 10 楼 MHY_IOCTL_INIT 这是进程线程回调吗？ 2022-5-18 16:02 0
木志本柯雪币： 4998 活跃值： (4997) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 379 粉丝 5 关注私信	木志本柯 11 楼这么好玩。。。是因为这个驱动自带白名单签名的原因吧稳定无检测 2022-5-18 17:52 0
killleer 雪币： 1556 活跃值： (2332) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 11 关注私信	killleer 12 楼 hzqst 现在不是都mhyprot3.sys了吗如果mhyprot3还有问题，那以后的mhy系列驱动都不会是白名单文件，现在mhy的驱动貌似已经被几家杀软拉灰了 2022-5-18 20:22 0
killleer 雪币： 1556 活跃值： (2332) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 11 关注私信	killleer 13 楼 hzqst 现在不是都mhyprot3.sys了吗已经被人玩了一年以上了最后于 2022-5-18 20:30 被killleer编辑，原因： 2022-5-18 20:29 0
章鱼C 雪币： 186 活跃值： (2669) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 94 粉丝 119 关注私信	章鱼C 14 楼这不是峰哥么... 2022-5-18 22:08 0
huangjw 雪币： 4914 活跃值： (7269) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 180 粉丝 2 关注私信	huangjw 15 楼什么时候才能追上你这技术水平。 2022-5-19 11:24 0
wem 雪币： 515 活跃值： (3332) 能力值： ( LV2，RANK：10 ) 在线值：发帖 86 回帖 241 粉丝 3 关注私信	wem 16 楼 mark 2022-5-21 18:40 0
椰子比尔雪币： 191 活跃值： (604) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 2 关注私信	椰子比尔 17 楼看着像原神游戏的驱动. 2022-5-22 10:35 0
黑洛雪币： 6129 活跃值： (4866) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 77 关注私信	黑洛 1 18 楼这mhy的驱动怎么一股大手子味？ 2022-5-23 20:06 0
killleer 雪币： 1556 活跃值： (2332) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 11 关注私信	killleer 19 楼黑洛这mhy的驱动怎么一股大手子味？不要怎么，就是，都泛滥了 2022-5-23 23:03 0
Mengluu 雪币： 3608 活跃值： (2912) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 7 粉丝 73 关注私信	Mengluu 1 20 楼之前原神上线没多久就有在UC论坛看到了利用帖子。感觉这就像是野生的被招安的写法一样，格外粗犷。 2022-5-24 17:06 0
hzqst 雪币： 12862 活跃值： (9302) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 595 关注私信	hzqst 3 21 楼黑洛这mhy的驱动怎么一股大手子味？我的评价是不如顺网读写.sys，那个才叫真·大手子，哪个函数是干嘛的都在函数入口给你log写明白咯 2022-5-24 21:38 0
劫局丶雪币： 450 活跃值： (2427) 能力值： ( LV3，RANK：25 ) 在线值：发帖 12 回帖 94 粉丝 11 关注私信	劫局丶 22 楼 hzqst 我的评价是不如顺网读写.sys，那个才叫真·大手子，哪个函数是干嘛的都在函数入口给你log写明白咯又黑我山总 2022-5-25 23:06 0
劫局丶雪币： 450 活跃值： (2427) 能力值： ( LV3，RANK：25 ) 在线值：发帖 12 回帖 94 粉丝 11 关注私信	劫局丶 23 楼黑洛这mhy的驱动怎么一股大手子味？相信自己，就是 2022-5-25 23:06 0
虚心求教者雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	虚心求教者 24 楼为啥wpm无法写入数据 2022-7-26 15:45 0
mb_ooanbrsi 雪币： 2774 活跃值： (2252) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 1 关注私信	mb_ooanbrsi 25 楼大佬66666666 2022-7-26 17:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

HadesW

发帖

回帖

RANK

关注

私信

他的文章

[原创]游戏安全之借坡下驴 31700
[原创]游戏安全之借刀杀人 21906

关于我们

联系我们

企业服务

看雪公众号

最新回复 (28) 1 2 ▶
renbohan 雪币： 458 活跃值： (1932) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 41 粉丝 43 关注私信	renbohan 2 楼大哥牛皮 2022-5-18 09:19 0
fengyunabc 雪币： 4011 活跃值： (4277) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 542 粉丝 27 关注私信	fengyunabc 1 3 楼 666 2022-5-18 10:42 0
Foodie 雪币： 4491 活跃值： (2494) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 3 关注私信	Foodie 4 楼大哥牛皮 2022-5-18 11:11 0
不懂就不懂雪币： 63 活跃值： (3170) 能力值： ( LV7，RANK：110 ) 在线值：发帖 7 回帖 57 粉丝 33 关注私信	不懂就不懂 2 5 楼大哥666 2022-5-18 11:18 0
Jev0n 雪币： 2134 活跃值： (3911) 能力值： ( LV4，RANK：55 ) 在线值：发帖 4 回帖 58 粉丝 32 关注私信	Jev0n 6 楼牛批 2022-5-18 11:54 0
hzqst 雪币： 12862 活跃值： (9302) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 595 关注私信	hzqst 3 7 楼现在不是都mhyprot3.sys了吗 2022-5-18 12:45 0
大鲤鱼雪币： 6564 活跃值： (4082) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 8 楼 MHY_IOCTL_INIT 这个是干什么的？ 2022-5-18 14:31 0
wx_0xC05StackOver 雪币： 208 活跃值： (1953) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 116 粉丝 13 关注私信	wx_0xC05StackOver 9 楼前排提示米哈游驱动保护在疯狂招人 2022-5-18 14:41 0
大鲤鱼雪币： 6564 活跃值： (4082) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 125 粉丝 3 关注私信	大鲤鱼 10 楼 MHY_IOCTL_INIT 这是进程线程回调吗？ 2022-5-18 16:02 0
木志本柯雪币： 4998 活跃值： (4997) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 379 粉丝 5 关注私信	木志本柯 11 楼这么好玩。。。是因为这个驱动自带白名单签名的原因吧稳定无检测 2022-5-18 17:52 0
killleer 雪币： 1556 活跃值： (2332) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 11 关注私信	killleer 12 楼 hzqst 现在不是都mhyprot3.sys了吗如果mhyprot3还有问题，那以后的mhy系列驱动都不会是白名单文件，现在mhy的驱动貌似已经被几家杀软拉灰了 2022-5-18 20:22 0
killleer 雪币： 1556 活跃值： (2332) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 11 关注私信	killleer 13 楼 hzqst 现在不是都mhyprot3.sys了吗已经被人玩了一年以上了最后于 2022-5-18 20:30 被killleer编辑，原因： 2022-5-18 20:29 0
章鱼C 雪币： 186 活跃值： (2669) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 94 粉丝 119 关注私信	章鱼C 14 楼这不是峰哥么... 2022-5-18 22:08 0
huangjw 雪币： 4914 活跃值： (7269) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 180 粉丝 2 关注私信	huangjw 15 楼什么时候才能追上你这技术水平。 2022-5-19 11:24 0
wem 雪币： 515 活跃值： (3332) 能力值： ( LV2，RANK：10 ) 在线值：发帖 86 回帖 241 粉丝 3 关注私信	wem 16 楼 mark 2022-5-21 18:40 0
椰子比尔雪币： 191 活跃值： (604) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 2 关注私信	椰子比尔 17 楼看着像原神游戏的驱动. 2022-5-22 10:35 0
黑洛雪币： 6129 活跃值： (4866) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 77 关注私信	黑洛 1 18 楼这mhy的驱动怎么一股大手子味？ 2022-5-23 20:06 0
killleer 雪币： 1556 活跃值： (2332) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 11 关注私信	killleer 19 楼黑洛这mhy的驱动怎么一股大手子味？不要怎么，就是，都泛滥了 2022-5-23 23:03 0
Mengluu 雪币： 3608 活跃值： (2912) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 7 粉丝 73 关注私信	Mengluu 1 20 楼之前原神上线没多久就有在UC论坛看到了利用帖子。感觉这就像是野生的被招安的写法一样，格外粗犷。 2022-5-24 17:06 0
hzqst 雪币： 12862 活跃值： (9302) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 595 关注私信	hzqst 3 21 楼黑洛这mhy的驱动怎么一股大手子味？我的评价是不如顺网读写.sys，那个才叫真·大手子，哪个函数是干嘛的都在函数入口给你log写明白咯 2022-5-24 21:38 0
劫局丶雪币： 450 活跃值： (2427) 能力值： ( LV3，RANK：25 ) 在线值：发帖 12 回帖 94 粉丝 11 关注私信	劫局丶 22 楼 hzqst 我的评价是不如顺网读写.sys，那个才叫真·大手子，哪个函数是干嘛的都在函数入口给你log写明白咯又黑我山总 2022-5-25 23:06 0
劫局丶雪币： 450 活跃值： (2427) 能力值： ( LV3，RANK：25 ) 在线值：发帖 12 回帖 94 粉丝 11 关注私信	劫局丶 23 楼黑洛这mhy的驱动怎么一股大手子味？相信自己，就是 2022-5-25 23:06 0
虚心求教者雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	虚心求教者 24 楼为啥wpm无法写入数据 2022-7-26 15:45 0
mb_ooanbrsi 雪币： 2774 活跃值： (2252) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 1 关注私信	mb_ooanbrsi 25 楼大佬66666666 2022-7-26 17:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]游戏安全之借坡下驴

账号登录 验证码登录

账号登录

验证码登录