[原创]仿照EAC的全局异常Hook-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]仿照EAC的全局异常Hook

2023-8-19 19:46 12233

[原创]仿照EAC的全局异常Hook

Pipi1337

2023-8-19 19:46

12233

今年初EAC在部分游戏上部署了假CR3保护，具体痕迹如下
没开游戏时：

开游戏后：

原本指向HalpTscQueryCounterOrdered的指针指向了EAC模块内的异常处理函数。
部分系统变量被更改，是为了配合系统顺利调用HalpTscQueryCounterOrdered从而进入异常处理流程。

如果发生异常则会走以下流程
int 3异常, 系统1709

EAC Hook
hal!KeStallExecutionProcessor+0xac
nt!KeFreezeExecution+0x26a
nt!KdEnterDebugger+0x64
nt!KdpReport+0x71
nt!KdpTrap+0x14d
nt!KdTrap+0x2c
nt!KiDispatchException+0x15f
nt!KiExceptionDispatch+0x11d
0a nt!KiBreakpointTrap+0x318

GP异常, 系统21H1

EAC Hook
nt!KeStallExecutionProcessor + 0x120
nt!KeFreezeExecution + 0x110
nt!KdEnterDebugger + 0x6d
nt!KdpReport + 0x74
nt!KdpTrap + 0x160
nt!KdTrap + 0x2d
nt!KiDispatchException + 0x177
nt!KxExceptionDispatchOnExceptionStack + 0x12
nt!KiExceptionDispatchOnExceptionStackContinue
0a nt!KiExceptionDispatch + 0x125
0b nt!KiGeneralProtectionFault + 0x320

原理：
EAC将自身进程eprocess.dirbase/cr3 的reserved bit设1，其他进程mov cr3, eac_cr3 就会触发#GP 并进入EAC的异常处理流程，EAC在异常处理流程内栈回溯获取相关信息并恢复CR3，Flag调用进程

粗略实现: (仅测试Win10, Win11要修栈)
https://github.com/1401199262/Hook-KdTrap

话说好久之前就发了啊

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

最后于 2023-8-19 20:38 被Pipi1337编辑，原因：

#系统内核 #HOOK/注入

收藏・35

点赞・6

打赏

最新回复 (14)
Interupt 雪币： 10 活跃值： (748) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 3 粉丝 9 关注私信	Interupt 2023-8-19 21:25 2 楼 0 pipi牛逼
wuli鸭蛋君雪币： 147 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 1 关注私信	wuli鸭蛋君 2023-8-19 23:50 3 楼 0 pipi牛逼
章鱼C 雪币： 223 活跃值： (2539) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 83 粉丝 103 关注私信	章鱼C 2023-8-20 03:21 4 楼 0 速度真快
cheating 雪币： 46 活跃值： (1595) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 127 粉丝 8 关注私信	cheating 2023-8-20 12:45 5 楼 0 不出发PG吗？
mb_qxylmmzv 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	mb_qxylmmzv 2023-8-20 18:38 6 楼 0 cheating 不出发PG吗？和infinity hook一个位置，估计以后就修了
sxpp 雪币： 231 活跃值： (2631) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 342 粉丝 4 关注私信	sxpp 1 2023-8-20 19:24 7 楼 0 Qemu+Windbg怎么设置的
cheating 雪币： 46 活跃值： (1595) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 127 粉丝 8 关注私信	cheating 2023-8-20 19:31 8 楼 0 mb_qxylmmzv 和infinity hook一个位置，估计以后就修了那就是低版本能用用
秋狝雪币： 19431 活跃值： (29097) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1581 粉丝 31 关注私信	秋狝 2023-8-20 23:29 9 楼 1 感谢分享
万剑归宗雪币： 914 活跃值： (2188) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 545 粉丝 33 关注私信	万剑归宗 1 2023-8-21 12:10 10 楼 0 new bee
mb_qxylmmzv 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	mb_qxylmmzv 2023-8-21 15:53 11 楼 0 cheating 那就是低版本能用用从win7到最新版win11都能用，不pg
hzqst 雪币： 12837 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 539 关注私信	hzqst 3 2023-8-22 00:07 12 楼 0 EAC：已举办
灵幻空间雪币： 1290 活跃值： (2332) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 43 粉丝 43 关注私信	灵幻空间 2023-8-22 19:07 13 楼 0 感谢分享
Roger 雪币： 3096 活跃值： (2444) 能力值： ( LV8，RANK：147 ) 在线值：发帖 3 回帖 70 粉丝 34 关注私信	Roger 1 2023-8-25 18:50 14 楼 0 mark
caolinkai 雪币： 3674 活跃值： (3853) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 813 粉丝 1 关注私信	caolinkai 2023-8-26 20:24 15 楼 0 6666666666
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

Pipi1337

发帖

回帖

RANK

关注

私信

他的文章

[原创] 不调用系统api读写物理内存的方法

[原创]仿照EAC的全局异常Hook

[分享] 内核模式下的远程Call思路

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
Interupt 雪币： 10 活跃值： (748) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 3 粉丝 9 关注私信	Interupt 2023-8-19 21:25 2 楼 0 pipi牛逼
wuli鸭蛋君雪币： 147 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 1 关注私信	wuli鸭蛋君 2023-8-19 23:50 3 楼 0 pipi牛逼
章鱼C 雪币： 223 活跃值： (2539) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 83 粉丝 103 关注私信	章鱼C 2023-8-20 03:21 4 楼 0 速度真快
cheating 雪币： 46 活跃值： (1595) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 127 粉丝 8 关注私信	cheating 2023-8-20 12:45 5 楼 0 不出发PG吗？
mb_qxylmmzv 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	mb_qxylmmzv 2023-8-20 18:38 6 楼 0 cheating 不出发PG吗？和infinity hook一个位置，估计以后就修了
sxpp 雪币： 231 活跃值： (2631) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 342 粉丝 4 关注私信	sxpp 1 2023-8-20 19:24 7 楼 0 Qemu+Windbg怎么设置的
cheating 雪币： 46 活跃值： (1595) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 127 粉丝 8 关注私信	cheating 2023-8-20 19:31 8 楼 0 mb_qxylmmzv 和infinity hook一个位置，估计以后就修了那就是低版本能用用
秋狝雪币： 19431 活跃值： (29097) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1581 粉丝 31 关注私信	秋狝 2023-8-20 23:29 9 楼 1 感谢分享
万剑归宗雪币： 914 活跃值： (2188) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 545 粉丝 33 关注私信	万剑归宗 1 2023-8-21 12:10 10 楼 0 new bee
mb_qxylmmzv 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	mb_qxylmmzv 2023-8-21 15:53 11 楼 0 cheating 那就是低版本能用用从win7到最新版win11都能用，不pg
hzqst 雪币： 12837 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 539 关注私信	hzqst 3 2023-8-22 00:07 12 楼 0 EAC：已举办
灵幻空间雪币： 1290 活跃值： (2332) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 43 粉丝 43 关注私信	灵幻空间 2023-8-22 19:07 13 楼 0 感谢分享
Roger 雪币： 3096 活跃值： (2444) 能力值： ( LV8，RANK：147 ) 在线值：发帖 3 回帖 70 粉丝 34 关注私信	Roger 1 2023-8-25 18:50 14 楼 0 mark
caolinkai 雪币： 3674 活跃值： (3853) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 813 粉丝 1 关注私信	caolinkai 2023-8-26 20:24 15 楼 0 6666666666
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复