[原创]【抛砖引玉，但是我是玉】一个可以通杀EAC-CR3保护的猜想-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]【抛砖引玉，但是我是玉】一个可以通杀EAC-CR3保护的猜想

发表于: 2023-8-16 17:03 24590

[原创]【抛砖引玉，但是我是玉】一个可以通杀EAC-CR3保护的猜想

hzqst

2023-8-16 17:03

24590

众所周知宇宙第一AntiCheat——EasyAntiCheat前段时间在RustClient.exe上部署了假cr3

消息来源：UC新闻网

unknowncheats.me/forum/anti-cheat-bypass/580783-article-unleashing-secrets-easyanticheat-cr3-protection.html

[News] Easy Anti-Cheat CR3 Trashing (unknowncheats.me)

Unleashing the Secrets: EasyAntiCheat’s CR3 Protection :: AVX's Blog (advancedvectorextensions.github.io)

不知道具体原理的这里给大伙儿省个流：

1、偷指针，接管整个系统的异常处理

2、给EPROCESS.DirectoryTableBase写非法数值，让这个值在SwapContext写入cr3时发生#GP异常

3、接管#GP异常，恢复真实cr3，从异常中恢复

大手子们针对EAC也是八仙过海各显神通

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

最后于 2023-8-16 17:04 被hzqst编辑，原因：

#调试逆向

收藏・47

免费・13

支持

打赏 + 280.00雪花

铭濠笙科技

打赏次数 2

雪花 + 280.00

铭濠笙科技	+80.00	2023/09/17
铭濠笙科技	+200.00	2023/09/17

最新回复 (24)
hkdong 雪币： 2062 活跃值： (3867) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 1 关注私信	hkdong 2 楼大手子，你好 2023-8-16 17:10 1
淡然他徒弟雪币： 6166 活跃值： (4937) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 220 粉丝 105 关注私信	淡然他徒弟 1 3 楼等会5e的就来给你点赞了。 2023-8-16 17:12 4
黑洛雪币： 6124 活跃值： (4656) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 4 楼鉴定为真 2023-8-16 17:13 0
cslime 雪币： 3129 活跃值： (3668) 能力值： ( LV8，RANK：158 ) 在线值：发帖 8 回帖 30 粉丝 103 关注私信	cslime 2 5 楼我之前有过一个在内存取证的情境下的思路大致是这样 dtb所在的pfndata的pteaddr是可以被计算出来的先根据dtb_pteaddr,KUSER_SHARED_DATA,PTE_BASE,MmPfnDataBase的地址作为特征暴力遍历所有可能的dtb,判断dtb内存映射里有没有出现GameProcess.SectionBase,判断内存中的pe头特征是否和磁盘中的pe头特征相同,或者也可以搜索游戏exe里的一个固定的特征码 pte_base_pml4_index=va(pte_base).pml4e_index dtb_pteaddr=pxe_base+pte_base_pml4_index*8 for pfndata in MmPfnDataBase: if pfndata.pteaddr == dtb_pteaddr dtb_vma=vma(pfnaddr.physaddr) if dtb_vma.checkva(MmPfnDataBase) and readphys_int64array(pfndata.physaddr)[pte_base_pml4_index].valid() and dtb_vma.checkusershareddata() if dtb_vma.checkva(gameproc.sectionbase): pe = parsepe(dtb_vma,gameproc.sectionbase) if pe.checksum == gamefile.checksum: print("dtb = {}".format(pfndata.physaddr)); exit() 最后于 2023-8-16 21:38 被cslime编辑，原因：优化描述 2023-8-16 19:08 0
万剑归宗雪币： 914 活跃值： (2458) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 6 楼你这代码保熟不? 2023-8-17 11:54 0
DiamondH 雪币： 1114 活跃值： (2094) 能力值： ( LV4，RANK：40 ) 在线值：发帖 4 回帖 56 粉丝 27 关注私信	DiamondH 7 楼 niubi 2023-8-17 14:28 0
恒大雪币： 185 活跃值： (2397) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 4 关注私信	恒大 8 楼 2023-8-17 18:07 0
秋狝雪币： 3059 活跃值： (30876) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 9 楼感谢分享 2023-8-18 09:24 1
lwl 雪币： 660 活跃值： (1465) 能力值： ( LV4，RANK：40 ) 在线值：发帖 4 回帖 48 粉丝 14 关注私信	lwl 10 楼其实系统有默认的回调会记录APP启动的信息，直接取就行了。 2023-8-18 09:38 0
劫局丶雪币： 412 活跃值： (2176) 能力值： ( LV3，RANK：25 ) 在线值：发帖 12 回帖 94 粉丝 11 关注私信	劫局丶 11 楼有内鬼，终止交易 2023-8-18 10:15 0
L0x1c 雪币： 1015 活跃值： (5242) 能力值： ( LV12，RANK：312 ) 在线值：发帖 15 回帖 48 粉丝 118 关注私信	L0x1c 3 12 楼有内鬼，终止交易 2023-8-18 10:23 0
Roger 雪币： 3677 活跃值： (3081) 能力值： ( LV8，RANK：147 ) 在线值：发帖 6 回帖 73 粉丝 76 关注私信	Roger 1 13 楼淡然他徒弟等会5e的就来给你点赞了。 mark 2023-8-18 17:58 1
ＰＥＤＩＹ雪币： 1825 活跃值： (5354) 能力值： ( LV2，RANK：10 ) 在线值：发帖 54 回帖 271 粉丝 5 关注私信	ＰＥＤＩＹ 14 楼毛茸茸又软和的大黄也有谦虚地喊“前辈”的时候啊, 哈哈 2023-8-19 06:30 1
Oxygen1a1 雪币： 2141 活跃值： (5173) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 78 粉丝 64 关注私信	Oxygen1a1 15 楼大表哥牛逼,顺便问下如果直接附加,此时__readcr3不是也能取出正确的cr3吗?附加一次总不会被橄榄吧 2023-8-19 08:44 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 16 楼 Oxygen1a1 大表哥牛逼,顺便问下如果直接附加,此时__readcr3不是也能取出正确的cr3吗?附加一次总不会被橄榄吧 1、attach的writecr3会被异常处理捕获，想死号就尽管attach 2、人家是DMA 2023-8-19 11:40 1
cheating 雪币： 46 活跃值： (1740) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 160 粉丝 8 关注私信	cheating 17 楼我想知道人家是什么时刻把cr3改成非法的，在进程回调那里就改了？，大表哥能说一下不，哈哈。 2023-8-19 14:07 0
clestor 雪币： 12 活跃值： (399) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 3 关注私信	clestor 18 楼 InfinityHook:这个我熟 2023-8-19 18:01 0
ＰＥＤＩＹ雪币： 1825 活跃值： (5354) 能力值： ( LV2，RANK：10 ) 在线值：发帖 54 回帖 271 粉丝 5 关注私信	ＰＥＤＩＹ 19 楼 clestor InfinityHook:这个我熟胆敢窃取楼主本尊照片, 当头像！最后于 2023-8-20 23:18 被ＰＥＤＩＹ编辑，原因： 2023-8-20 18:05 1
麦瑞鸭雪币： 206 活跃值： (1991) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 105 粉丝 24 关注私信	麦瑞鸭 20 楼如果应用层拿到读写权限，调用应用层函数读写应该就能绕过，这种保护似乎只能靠判断rip来过滤 2023-9-12 01:00 0
跳舞和kiss 雪币： 2421 活跃值： (2301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 50 粉丝 1 关注私信	跳舞和kiss 21 楼真牛逼，大佬开班吧 2024-2-7 08:58 0
mb_zdkihfht 雪币： 140 活跃值： (451) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 1 关注私信	mb_zdkihfht 22 楼我真的在学 2024-3-17 19:59 0
Grav1ty 雪币： 1862 活跃值： (4146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 44 粉丝 3 关注私信	Grav1ty 23 楼怪不得最近挂哥变多了 2024-3-17 21:26 0
wx_宫.. 雪币： 0 活跃值： (245) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wx_宫.. 24 楼给游戏线程插内核apc 在apc里__readcr3() 也能取到正确的吧 2024-11-3 22:19 0
龟仙人雪币： 633 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 15 粉丝 1 关注私信	龟仙人 25 楼 emmm,回复好像有bug; 楼上的你咋不附加上去呢? 最后于 2024-11-6 02:08 被龟仙人编辑，原因： 2024-11-6 02:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hzqst

发帖

1793

回帖

280

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
hkdong 雪币： 2062 活跃值： (3867) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 1 关注私信	hkdong 2 楼大手子，你好 2023-8-16 17:10 1
淡然他徒弟雪币： 6166 活跃值： (4937) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 220 粉丝 105 关注私信	淡然他徒弟 1 3 楼等会5e的就来给你点赞了。 2023-8-16 17:12 4
黑洛雪币： 6124 活跃值： (4656) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 4 楼鉴定为真 2023-8-16 17:13 0
cslime 雪币： 3129 活跃值： (3668) 能力值： ( LV8，RANK：158 ) 在线值：发帖 8 回帖 30 粉丝 103 关注私信	cslime 2 5 楼我之前有过一个在内存取证的情境下的思路大致是这样 dtb所在的pfndata的pteaddr是可以被计算出来的先根据dtb_pteaddr,KUSER_SHARED_DATA,PTE_BASE,MmPfnDataBase的地址作为特征暴力遍历所有可能的dtb,判断dtb内存映射里有没有出现GameProcess.SectionBase,判断内存中的pe头特征是否和磁盘中的pe头特征相同,或者也可以搜索游戏exe里的一个固定的特征码 pte_base_pml4_index=va(pte_base).pml4e_index dtb_pteaddr=pxe_base+pte_base_pml4_index*8 for pfndata in MmPfnDataBase: if pfndata.pteaddr == dtb_pteaddr dtb_vma=vma(pfnaddr.physaddr) if dtb_vma.checkva(MmPfnDataBase) and readphys_int64array(pfndata.physaddr)[pte_base_pml4_index].valid() and dtb_vma.checkusershareddata() if dtb_vma.checkva(gameproc.sectionbase): pe = parsepe(dtb_vma,gameproc.sectionbase) if pe.checksum == gamefile.checksum: print("dtb = {}".format(pfndata.physaddr)); exit() 最后于 2023-8-16 21:38 被cslime编辑，原因：优化描述 2023-8-16 19:08 0
万剑归宗雪币： 914 活跃值： (2458) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 6 楼你这代码保熟不? 2023-8-17 11:54 0
DiamondH 雪币： 1114 活跃值： (2094) 能力值： ( LV4，RANK：40 ) 在线值：发帖 4 回帖 56 粉丝 27 关注私信	DiamondH 7 楼 niubi 2023-8-17 14:28 0
恒大雪币： 185 活跃值： (2397) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 4 关注私信	恒大 8 楼 2023-8-17 18:07 0
秋狝雪币： 3059 活跃值： (30876) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 9 楼感谢分享 2023-8-18 09:24 1
lwl 雪币： 660 活跃值： (1465) 能力值： ( LV4，RANK：40 ) 在线值：发帖 4 回帖 48 粉丝 14 关注私信	lwl 10 楼其实系统有默认的回调会记录APP启动的信息，直接取就行了。 2023-8-18 09:38 0
劫局丶雪币： 412 活跃值： (2176) 能力值： ( LV3，RANK：25 ) 在线值：发帖 12 回帖 94 粉丝 11 关注私信	劫局丶 11 楼有内鬼，终止交易 2023-8-18 10:15 0
L0x1c 雪币： 1015 活跃值： (5242) 能力值： ( LV12，RANK：312 ) 在线值：发帖 15 回帖 48 粉丝 118 关注私信	L0x1c 3 12 楼有内鬼，终止交易 2023-8-18 10:23 0
Roger 雪币： 3677 活跃值： (3081) 能力值： ( LV8，RANK：147 ) 在线值：发帖 6 回帖 73 粉丝 76 关注私信	Roger 1 13 楼淡然他徒弟等会5e的就来给你点赞了。 mark 2023-8-18 17:58 1
ＰＥＤＩＹ雪币： 1825 活跃值： (5354) 能力值： ( LV2，RANK：10 ) 在线值：发帖 54 回帖 271 粉丝 5 关注私信	ＰＥＤＩＹ 14 楼毛茸茸又软和的大黄也有谦虚地喊“前辈”的时候啊, 哈哈 2023-8-19 06:30 1
Oxygen1a1 雪币： 2141 活跃值： (5173) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 78 粉丝 64 关注私信	Oxygen1a1 15 楼大表哥牛逼,顺便问下如果直接附加,此时__readcr3不是也能取出正确的cr3吗?附加一次总不会被橄榄吧 2023-8-19 08:44 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 16 楼 Oxygen1a1 大表哥牛逼,顺便问下如果直接附加,此时__readcr3不是也能取出正确的cr3吗?附加一次总不会被橄榄吧 1、attach的writecr3会被异常处理捕获，想死号就尽管attach 2、人家是DMA 2023-8-19 11:40 1
cheating 雪币： 46 活跃值： (1740) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 160 粉丝 8 关注私信	cheating 17 楼我想知道人家是什么时刻把cr3改成非法的，在进程回调那里就改了？，大表哥能说一下不，哈哈。 2023-8-19 14:07 0
clestor 雪币： 12 活跃值： (399) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 3 关注私信	clestor 18 楼 InfinityHook:这个我熟 2023-8-19 18:01 0
ＰＥＤＩＹ雪币： 1825 活跃值： (5354) 能力值： ( LV2，RANK：10 ) 在线值：发帖 54 回帖 271 粉丝 5 关注私信	ＰＥＤＩＹ 19 楼 clestor InfinityHook:这个我熟胆敢窃取楼主本尊照片, 当头像！最后于 2023-8-20 23:18 被ＰＥＤＩＹ编辑，原因： 2023-8-20 18:05 1
麦瑞鸭雪币： 206 活跃值： (1991) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 105 粉丝 24 关注私信	麦瑞鸭 20 楼如果应用层拿到读写权限，调用应用层函数读写应该就能绕过，这种保护似乎只能靠判断rip来过滤 2023-9-12 01:00 0
跳舞和kiss 雪币： 2421 活跃值： (2301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 50 粉丝 1 关注私信	跳舞和kiss 21 楼真牛逼，大佬开班吧 2024-2-7 08:58 0
mb_zdkihfht 雪币： 140 活跃值： (451) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 1 关注私信	mb_zdkihfht 22 楼我真的在学 2024-3-17 19:59 0
Grav1ty 雪币： 1862 活跃值： (4146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 44 粉丝 3 关注私信	Grav1ty 23 楼怪不得最近挂哥变多了 2024-3-17 21:26 0
wx_宫.. 雪币： 0 活跃值： (245) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wx_宫.. 24 楼给游戏线程插内核apc 在apc里__readcr3() 也能取到正确的吧 2024-11-3 22:19 0
龟仙人雪币： 633 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 15 粉丝 1 关注私信	龟仙人 25 楼 emmm,回复好像有bug; 楼上的你咋不附加上去呢? 最后于 2024-11-6 02:08 被龟仙人编辑，原因： 2024-11-6 02:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]【抛砖引玉，但是我是玉】一个可以通杀EAC-CR3保护的猜想

毛茸茸又软和的大黄也有谦虚地喊“前辈”的时候啊, 哈哈

胆敢窃取楼主本尊照片, 当头像！