首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 茶余饭后
    3. 发新帖
[原创]NMI游戏攻防堆栈数据流回缩检测(NMI_DPC_APC)
2022-8-9 05:46 11244

[原创]NMI游戏攻防堆栈数据流回缩检测(NMI_DPC_APC)

作弊者 活跃值
2022-8-9 05:46
11244

一.前言

1.NMI

NMI (Non Maskable Interrupt)——不可屏蔽中断(即CPU不能屏蔽)
无论状态寄存器中 IF 位的状态如何,CPU收到有效的NMI必须进行响应;NMI是上升沿有效;中断类型号固定为2;它在被响应时无中断响应周期.不可屏蔽中断通常用于故障处理(如:协处理器运算出错,存储器校验出错,I/O通道校验出错等).

2.介绍

由于驱动读写相关驱动现在都是无模块拉伸.sys不容易被查 聪明的大佬想到下列方案
NMI-DPC-APC这3个强制打断执行线程历程广泛应用到游戏公司反作弊系统,利用线程高频率插入做到高频触发来模糊定位一些执行体代码。

3.实现原理

很简单抓堆栈数据大一点无所谓 排斥垃圾数据MmIsAddressValid,小地址,就要内核地址就行挨个去过滤分析出异常无模块驱动

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
#include <ntifs.h>
#include<nthalext.h>
PVOID g_NmiCountText = 0;
PVOID g_Nmiaffinity = 0;
PVOID g_Nmipag = 0;
 
typedef struct _KAFFINITY_EX {
    SHORT Count;
    SHORT Size;
    ULONG Padding;
    ULONG64 bitmap[20];
} KAFFINITYEX, * PKAFFINITYEX;
 
typedef void (__fastcall* _KeInitializeAffinityEx)(PKAFFINITYEX pkaff);
typedef void (__fastcall* _KeAddProcessorAffinityEx)(PKAFFINITYEX pkaff, ULONG nmu);
typedef void (__fastcall *_HalSendNMI)(ULONG64 a1);
//每个核插入
VOID
KeGenericCallDpc(
    __in PKDEFERRED_ROUTINE Routine,
    __in_opt PVOID Context
);
 
//释放锁
VOID
KeSignalCallDpcDone(
    __in PVOID SystemArgument1
);
 
 
 
VOID
DpcCallback1(
    _In_ struct _KDPC* Dpc,
    _In_opt_ PVOID DeferredContext,
    _In_opt_ PVOID SystemArgument1,
    _In_opt_ PVOID SystemArgument2
)
{
    DbgBreakPoint();
    ULONG number = KeGetCurrentProcessorNumber();
    KdPrintEx((77, 0, "DpcCallback CALL %d\r\n", number));
    //释放锁
    KeSignalCallDpcDone(SystemArgument1);
}
 
//等待函数
VOID KernelSleep(ULONG_PTR mm, BOOLEAN isAlert)
{
    /***********************************************************************************************
        *函数名 :KernelSleep
        *函数功能描述 :等待函数
        *函数参数 :
            参数1:毫秒
            参数2:可报错TRUE or FALSE
        *函数返回值 :HANDLE
        ***********************************************************************************************/
 
    LARGE_INTEGER in = { 0 };
    in.QuadPart = -10000 * mm;
    KeDelayExecutionThread(KernelMode, isAlert, &in);
 
 
}
//出发nmi中断
BOOLEAN NmiThread()
{
    UNICODE_STRING SystemRoutineName = { 0 };
    ULONG numCors= KeQueryActiveProcessorCountEx(0);
    RtlInitUnicodeString(&SystemRoutineName, L"HalSendNMI");
    _HalSendNMI HalSendNMI= MmGetSystemRoutineAddress(&SystemRoutineName);
    RtlInitUnicodeString(&SystemRoutineName, L"KeInitializeAffinityEx");
    _KeInitializeAffinityEx KeInitializeAffinityEx = MmGetSystemRoutineAddress(&SystemRoutineName);
    RtlInitUnicodeString(&SystemRoutineName, L"KeAddProcessorAffinityEx");
    _KeAddProcessorAffinityEx KeAddProcessorAffinityEx = MmGetSystemRoutineAddress(&SystemRoutineName);
    while (1)
    {
        //每个核执行一次nmi 2号中断
        for (size_t i = 0; i < numCors; i++)
        {
            KeInitializeAffinityEx(g_Nmiaffinity);
            KeAddProcessorAffinityEx(g_Nmiaffinity, i);
            HalSendNMI(g_Nmiaffinity);
            KernelSleep(1000,1);
        }
    }
}
BOOLEAN DpcThread()
{
    while (1)
    {
        KeGenericCallDpc(DpcCallback1, NULL);
        KernelSleep(1000, 0);
    }
 
}
//nmi回调
BOOLEAN NmiCallBack(PVOID Context,BOOLEAN handule)
{
    KdPrint((77,0,"触发一次nmi\r\n"));
    //必须返回1不处理0交给操作系统处理(蓝屏)
    return 1;
}
//驱动卸载回调
VOID DriverUpload(PDRIVER_OBJECT pDriver)
{
 
    KdPrintEx((77, 0, "________驱动卸载__________\r\n"));
}
 
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegString)
{
    //1.做掉目标线程
    //2.堆栈数据检测
    //3.根据堆栈回缩无模块驱动检测
    //-----------------------------------------------------------------------------
    //nmi
    HANDLE thread_hanlde[10];
    ULONG numCors= KeQueryActiveProcessorCountEx(0);//几个核心
    g_NmiCountText= ExAllocatePoolWithTag(NonPagedPool, numCors * 0x500, 'tag');
    g_Nmiaffinity= ExAllocatePoolWithTag(NonPagedPool, sizeof(KAFFINITYEX), 'tag');
    g_Nmipag= ExAllocatePoolWithTag(NonPagedPool, 0x1000, 'tag');
    KeRegisterNmiCallback(NmiCallBack, g_NmiCountText);
    PsCreateSystemThread(&thread_hanlde[0],
         THREAD_ALL_ACCESS, NULL, NtCurrentProcess(), NULL, NmiThread, 0);
    //-----------------------------------------------------------------------------
    //-----------------------------------------------------------------------------
    //dpc
    PsCreateSystemThread(&thread_hanlde[1],
        THREAD_ALL_ACCESS, NULL, NtCurrentProcess(), NULL, DpcThread, 0);
    //-----------------------------------------------------------------------------
    //-----------------------------------------------------------------------------
    //apc我就不写了大家都懂愿意写源码一堆
 
    //-----------------------------------------------------------------------------
    KdPrintEx((77, 0, "________加载成功__________\r\n"));
    pDriverObject->DriverUnload = DriverUpload;
    return STATUS_SUCCESS;
}

反制手段

1.走白名单驱动
2.干掉相关回调废了他

总结

欢迎补充各种中断回调历程,太狠了这帮游戏公司大佬扛不住哦


[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
点赞2
打赏
分享
最新回复 (21)
dx苹果的心愿
雪    币: 718
活跃值: (3286)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
私信
dx苹果的心愿 1 2022-8-9 09:45
2
2
没太懂什么是堆栈数据流回缩,我知道有个栈回潮,不知道和你说的是不是一个东西
作弊者
雪    币: 43
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
作弊者 2022-8-9 09:57
3
1
是这样的呀 堆栈的数据流啊 
hzqst
雪    币: 12839
活跃值: (8998)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
hzqst 3 2022-8-9 10:18
4
0
这波跟ID配合的很好
はつゆき
雪    币: 1641
活跃值: (3601)
能力值: (RANK:15 )
在线值:
发帖
回帖
粉丝
私信
はつゆき 2022-8-9 10:52
5
0
不是封弊者我不认可
作弊者
雪    币: 43
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
作弊者 2022-8-9 11:03
6
0
hzqst 大哥哥我们很熟的哦
作弊者
雪    币: 43
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
作弊者 2022-8-9 11:07
7
0
大哥哥 带带我 我吃不起饭了
hzqst
雪    币: 12839
活跃值: (8998)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
hzqst 3 2022-8-9 11:41
8
0
作弊者 大哥哥 带带我 我吃不起饭了
吃不起饭可以把闲置的房子租出去.jpg
作弊者
雪    币: 43
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
作弊者 2022-8-9 11:44
9
0
大表哥现在什么地方干呢
mb_vmkgkbrm
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
mb_vmkgkbrm 2022-8-12 19:00
10
0
hzqst 这波跟ID配合的很好
大表哥~能问一下技术上的一些问题吗?有偿咨询~望指点迷津,扣594157090
icqking
雪    币: 138
活跃值: (461)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
icqking 2022-8-16 22:05
11
0
无模块拉伸,是什么意思?
fengyunabc
雪    币: 3412
活跃值: (3452)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
fengyunabc 1 2022-9-20 15:27
12
0
感谢分享!
小希希
雪    币: 1531
活跃值: (3330)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
小希希 2022-9-21 22:43
13
0
感谢分享!
岚岚岚
雪    币: 998
活跃值: (41)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
岚岚岚 2022-10-1 06:15
14
0
hzqst 吃不起饭可以把闲置的房子租出去.jpg
大表哥 看你这评论 明显就是已经带着钱走了的.难道不会觉得不吃一次国家免费饭不算大佬吗.
逍遥m
雪    币: 1683
活跃值: (3077)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
私信
逍遥m 2022-10-1 06:55
15
0
玄学定位
大道在我
雪    币: 8236
活跃值: (4946)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
大道在我 2022-10-1 14:21
16
0
这不卡么?
0x太上
雪    币: 394
活跃值: (3999)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
0x太上 2022-10-29 01:19
17
0
作弊者 大哥哥 带带我 我吃不起饭了
make
R0g
雪    币: 2159
活跃值: (3579)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
R0g 2 2022-10-29 01:47
18
0
GeaC
雪    币: 4317
活跃值: (1952)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
GeaC 2022-10-29 09:34
19
0
支持一下
网络游侠
雪    币: 9
活跃值: (939)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
网络游侠 2022-10-29 10:06
20
0
简单的说就是针对无模块的驱动进行堆栈数据流的异常检测和分块内存回流方式的寻回而已,这个技术早就有了,干掉一个线程就解决了。
网络游侠
雪    币: 9
活跃值: (939)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
网络游侠 2022-10-29 10:08
21
0
其实就是另类的爆搜内存方式来查找无模块的sys Loader 而已,只是你的方法更加和谐一些,打掉你DPC让你这个玩意就可以回到宇宙的初始之地了
黑洛
雪    币: 6124
活跃值: (4121)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
私信
黑洛 1 2022-10-29 16:33
22
0
AC不会用的
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回