[原创]仿照EAC的全局异常Hook-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]仿照EAC的全局异常Hook

发表于: 2023-8-19 19:46 18267

[原创]仿照EAC的全局异常Hook

Pipi1337

2023-8-19 19:46

18267

今年初EAC在部分游戏上部署了假CR3保护，具体痕迹如下
没开游戏时：

开游戏后：

原本指向HalpTscQueryCounterOrdered的指针指向了EAC模块内的异常处理函数。
部分系统变量被更改，是为了配合系统顺利调用HalpTscQueryCounterOrdered从而进入异常处理流程。

如果发生异常则会走以下流程
int 3异常, 系统1709

GP异常, 系统21H1

原理：
EAC将自身进程eprocess.dirbase/cr3 的reserved bit设1，其他进程mov cr3, eac_cr3 就会触发#GP 并进入EAC的异常处理流程，EAC在异常处理流程内栈回溯获取相关信息并恢复CR3，Flag调用进程

粗略实现: (仅测试Win10, Win11要修栈)
https://github.com/1401199262/Hook-KdTrap

话说好久之前就发了啊

EAC Hook

hal!KeStallExecutionProcessor+0xac

nt!KeFreezeExecution+0x26a

nt!KdEnterDebugger+0x64

nt!KdpReport+0x71

nt!KdpTrap+0x14d

nt!KdTrap+0x2c

nt!KiDispatchException+0x15f

nt!KiExceptionDispatch+0x11d

0a nt!KiBreakpointTrap+0x318

01 EAC Hook

02 hal!KeStallExecutionProcessor+0xac

03 nt!KeFreezeExecution+0x26a

04 nt!KdEnterDebugger+0x64

05 nt!KdpReport+0x71

06 nt!KdpTrap+0x14d

07 nt!KdTrap+0x2c

08 nt!KiDispatchException+0x15f

09 nt!KiExceptionDispatch+0x11d

0a nt!KiBreakpointTrap+0x318

EAC Hook

nt!KeStallExecutionProcessor + 0x120

nt!KeFreezeExecution + 0x110

nt!KdEnterDebugger + 0x6d

nt!KdpReport + 0x74

nt!KdpTrap + 0x160

nt!KdTrap + 0x2d

nt!KiDispatchException + 0x177

nt!KxExceptionDispatchOnExceptionStack + 0x12

nt!KiExceptionDispatchOnExceptionStackContinue

0a nt!KiExceptionDispatch + 0x125

0b nt!KiGeneralProtectionFault + 0x320

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

最后于 2023-8-19 20:38 被Pipi1337编辑，原因：

#系统内核 #HOOK/注入

收藏・44

免费・7

支持

打赏 + 5.00雪花

一位没有留下痕迹的看雪读者

打赏次数 1

雪花 + 5.00

一位没有留下痕迹的看雪读者

+5.00

2024/05/13

感谢分享～

最新回复 (17)
Interupt 雪币： 11 活跃值： (822) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 12 关注私信	Interupt 2 楼 pipi牛逼 2023-8-19 21:25 0
wuli鸭蛋君雪币： 147 活跃值： (345) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 1 关注私信	wuli鸭蛋君 3 楼 pipi牛逼 2023-8-19 23:50 0
章鱼C 雪币： 206 活跃值： (2634) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 93 粉丝 116 关注私信	章鱼C 4 楼速度真快 2023-8-20 03:21 0
cheating 雪币： 46 活跃值： (1750) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 160 粉丝 8 关注私信	cheating 5 楼不出发PG吗？ 2023-8-20 12:45 0
mb_qxylmmzv 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	mb_qxylmmzv 6 楼 cheating 不出发PG吗？和infinity hook一个位置，估计以后就修了 2023-8-20 18:38 0
sxpp 雪币： 231 活跃值： (2631) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 7 楼 Qemu+Windbg怎么设置的 2023-8-20 19:24 0
cheating 雪币： 46 活跃值： (1750) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 160 粉丝 8 关注私信	cheating 8 楼 mb_qxylmmzv 和infinity hook一个位置，估计以后就修了那就是低版本能用用 2023-8-20 19:31 0
秋狝雪币： 3535 活跃值： (31016) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1569 粉丝 38 关注私信	秋狝 9 楼感谢分享 2023-8-20 23:29 1
万剑归宗雪币： 914 活跃值： (2548) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 10 楼 new bee 2023-8-21 12:10 0
mb_qxylmmzv 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	mb_qxylmmzv 11 楼 cheating 那就是低版本能用用从win7到最新版win11都能用，不pg 2023-8-21 15:53 0
hzqst 雪币： 12848 活跃值： (9167) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 570 关注私信	hzqst 3 12 楼 EAC：已举办 2023-8-22 00:07 0
灵幻空间雪币： 1290 活跃值： (2332) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 56 粉丝 44 关注私信	灵幻空间 13 楼感谢分享 2023-8-22 19:07 0
Roger 雪币： 3744 活跃值： (3151) 能力值： ( LV8，RANK：147 ) 在线值：发帖 6 回帖 75 粉丝 77 关注私信	Roger 1 14 楼 mark 2023-8-25 18:50 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 15 楼 6666666666 2023-8-26 20:24 0
baggiowo 雪币： 516 活跃值： (1888) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 40 粉丝 0 关注私信	baggiowo 16 楼大佬,想问问GetExceptionStackOffset这个偏移是怎么得来的 2024-7-7 08:26 0
baggiowo 雪币： 516 活跃值： (1888) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 40 粉丝 0 关注私信	baggiowo 17 楼我知道了,太低的版本没有这个成员,比如我用的1809 2024-7-7 08:34 0
starxnx 雪币： 535 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	starxnx 18 楼感谢分享 2024-7-7 10:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Pipi1337

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
Interupt 雪币： 11 活跃值： (822) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 12 关注私信	Interupt 2 楼 pipi牛逼 2023-8-19 21:25 0
wuli鸭蛋君雪币： 147 活跃值： (345) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 1 关注私信	wuli鸭蛋君 3 楼 pipi牛逼 2023-8-19 23:50 0
章鱼C 雪币： 206 活跃值： (2634) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 93 粉丝 116 关注私信	章鱼C 4 楼速度真快 2023-8-20 03:21 0
cheating 雪币： 46 活跃值： (1750) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 160 粉丝 8 关注私信	cheating 5 楼不出发PG吗？ 2023-8-20 12:45 0
mb_qxylmmzv 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	mb_qxylmmzv 6 楼 cheating 不出发PG吗？和infinity hook一个位置，估计以后就修了 2023-8-20 18:38 0
sxpp 雪币： 231 活跃值： (2631) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 7 楼 Qemu+Windbg怎么设置的 2023-8-20 19:24 0
cheating 雪币： 46 活跃值： (1750) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 160 粉丝 8 关注私信	cheating 8 楼 mb_qxylmmzv 和infinity hook一个位置，估计以后就修了那就是低版本能用用 2023-8-20 19:31 0
秋狝雪币： 3535 活跃值： (31016) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1569 粉丝 38 关注私信	秋狝 9 楼感谢分享 2023-8-20 23:29 1
万剑归宗雪币： 914 活跃值： (2548) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 10 楼 new bee 2023-8-21 12:10 0
mb_qxylmmzv 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	mb_qxylmmzv 11 楼 cheating 那就是低版本能用用从win7到最新版win11都能用，不pg 2023-8-21 15:53 0
hzqst 雪币： 12848 活跃值： (9167) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 570 关注私信	hzqst 3 12 楼 EAC：已举办 2023-8-22 00:07 0
灵幻空间雪币： 1290 活跃值： (2332) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 56 粉丝 44 关注私信	灵幻空间 13 楼感谢分享 2023-8-22 19:07 0
Roger 雪币： 3744 活跃值： (3151) 能力值： ( LV8，RANK：147 ) 在线值：发帖 6 回帖 75 粉丝 77 关注私信	Roger 1 14 楼 mark 2023-8-25 18:50 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 15 楼 6666666666 2023-8-26 20:24 0
baggiowo 雪币： 516 活跃值： (1888) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 40 粉丝 0 关注私信	baggiowo 16 楼大佬,想问问GetExceptionStackOffset这个偏移是怎么得来的 2024-7-7 08:26 0
baggiowo 雪币： 516 活跃值： (1888) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 40 粉丝 0 关注私信	baggiowo 17 楼我知道了,太低的版本没有这个成员,比如我用的1809 2024-7-7 08:34 0
starxnx 雪币： 535 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	starxnx 18 楼感谢分享 2024-7-7 10:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复