[原创]The Finals SDK与某辅助的驱动注入-逆向工程-看雪安全社区

[原创]The Finals SDK与某辅助的驱动注入

发表于: 2023-11-2 04:26 16225

[原创]The Finals SDK与某辅助的驱动注入

thisif

2023-11-2 04:26

16225

好的各位18cm的gege,时隔多日,伟大的灰大郎又回来了！！！

最近爆火的一款游戏The finals(最终决战)三测,刚干完苦力的我迫不及待打开我的小霸王准备游玩一番。卧槽!!锁子哥他们来了快跑!!!
毁灭吧,烦了。俗话说打不过就加入!!!

起初准备用看家本领CV大法一份玩一玩,结果看到隔壁群各种收数据,我慢慢发现事情没有这么简单。估计大手子dump sdk都留着发财了。总所周知,dump sdk找到GObjects以及GNames加上开源的sdkdump工具即可。
然而从这里才刚刚开始上套,一步步落入开发商的坑。满怀欢喜的打开CE搜索通用特征码却没有任何结果。后来发现搜索base 4D5A都没有。看来只能IDA了。
GObjects：搜索字符串“/Script/Angelscript”交叉引用则会看到GObject的解密
GNames：搜索字符串“ByteProperty”

就是这么朴实无华。等等,好像还没完。我发现了不得了的东西

我滴个亲娘呐。快跑！！！反手就是一个CV大法,内部可直接CALL
FNameToFString()

SDK-Dump:53cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6A6k6W2)9J5k6r3E0V1L8g2)9J5c8V1c8A6M7$3y4G2N6X3g2J5P5g2)9J5k6q4y4p5d9#2)9J5k6p5c8#2L8i4l9`.

实际上呢远远没有这么简单

反作弊:EasyAntiCheat +（暂且称为不知名的美女1号）

首先这个游戏对于每个不同的账号都会下发一个全新的版本所有客户端解密都不不同(更新前在我的PC，貌似在11/1晚上的更新后已经不在下发版本了)这很育碧。

游戏会对DrawText DrawLine DrawRect等等函数进行加密并且游戏运行时VirtualProtect函数所在的页置PAGE_NOACCESS（更新前固定函数,更新后函数有所改变）这很Byfron。不过只能算一个婴儿版本的byf

当然可以手动更改页属性你会看到加密的.text

如果开启游戏前打开IDA CE等工具游戏会提示完整*侵害游戏不会退出。游戏中打开则会直接退出(更新后开启IDA将无法启动游戏)

对于WorldToScreen,如果像正常那样使用矩阵，也就是0x20]0x2xx]UE引擎通用矩阵,你将会得到0,此时也许你会想使用CameraManager->Location。但事实是你使用其它UE相同算法的使用相机坐标进行转换，你也会得到不正确的值。APlayerController->ProjectWorldLocationToScreen是最好的选择。
我反手就是一个

苦力活咱不干

不行!!不行!!我也要成为一次锁子哥,于是乎打开了某宝。
出于习惯,任何未知exe都会先检查一遍。运行exe会在C:\生成一个.sys
签名挺不错的。

额这个sysdiag.sys很灵性,不是sysdiag_win10.sys吗
整体来说驱动没有什么亮点没什么好说的,完全就是CV的427K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6Z5j5h3W2V1M7X3q4Y4L8$3&6Q4x3V1k6p5M7X3W2$3k6i4u0u0L8X3A6W2j5%4c8p5L8r3H3`.
主打一个朴实无华alloc write。不过对于免费版EAC足够了

IoControlCode：0x0x222409
好了,射了,下机

std::string GetFromFName(const uint32_t key){
 unsigned __int64 v4; // r14
 unsigned __int64 v5; // rdi
 uint32_t chunkOffset = ((int)(key) >> 16); 
 WORD nameOffset = (WORD)key;
 auto namePoolChunk = Process::Read<uintptr_t>(unk_7FF77B4B4980 + (chunkOffset * 6) + (8 * 21)) ^ 0xD0064AB34C24F50Fui64;
 auto entryOffset = namePoolChunk + (uint32_t )(2 * nameOffset);
v4 = Process::Read<__int16>(entryOffset);
auto length = v5 = v4 >> 6;
if ( (v4 & 1) != 0 ){//wide
memcpy(v17, (a1 + 1), (v4 >> 5) & 0xFFFFFFFE);//这里是第一个call实际上是一个memcpy
 if ( v4 >= 0x40u ){
.....
}
     
}else{
memcpy(v17, (a1 + 1), (v4 >> 5) & 0xFFFFFFFE);//这里是第一个call实际上是一个memcpy
 if ( v4 >= 0x40u ){
.....
}
}
 
}

std::string GetFromFName(const uint32_t key){

unsigned __int64 v4; // r14

unsigned __int64 v5; // rdi

uint32_t chunkOffset = ((int)(key) >> 16);

WORD nameOffset = (WORD)key;

auto namePoolChunk = Process::Read<uintptr_t>(unk_7FF77B4B4980 + (chunkOffset * 6) + (8 * 21)) ^ 0xD0064AB34C24F50Fui64;

auto entryOffset = namePoolChunk + (uint32_t )(2 * nameOffset);

登录后可查看完整内容

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！

#调试逆向

上传的附件：

驱动注入.rar （183.38kb，206次下载）

收藏・18

免费・5

支持

最新回复 (17)
PlaneJun 雪币： 34 活跃值： (8249) 能力值： ( LV9，RANK：335 ) 在线值：发帖 23 回帖 115 粉丝 226 关注私信	PlaneJun 6 2 楼源码不发，一切都是扯淡 2023-11-2 08:50 0
veryluckko 雪币： 202 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 11 粉丝 1 关注私信	veryluckko 3 楼 widebits后面这些可以直接从ida cv的吗 2023-11-2 09:44 0
wx_墨_198 雪币： 710 活跃值： (3466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	wx_墨_198 4 楼想问下大佬的dump工具是哪个开源库修改的还是自己写的？我用的工具在处理头文件引用上经常出现错误 2023-11-2 12:18 0
thisif 雪币： 1730 活跃值： (1470) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 13 粉丝 74 关注私信	thisif 5 楼 wx_墨_198 想问下大佬的dump工具是哪个开源库修改的还是自己写的？我用的工具在处理头文件引用上经常出现错误引用错误正常的，一般小修一下就好了，把无用的类注释掉，一份SDK最多也就20来个吧 2023-11-2 12:44 0
阿秋需要push 雪币： 409 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 15 粉丝 1 关注私信	阿秋需要push 6 楼感谢The finals为我提供了防特征的新思路 2023-11-2 12:57 0
wx_墨_198 雪币： 710 活跃值： (3466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	wx_墨_198 7 楼 thisif 引用错误正常的，一般小修一下就好了，把无用的类注释掉，一份SDK最多也就20来个吧好的谢谢 2023-11-2 13:15 0
风铃i 雪币： 1742 活跃值： (2579) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 39 粉丝 11 关注私信	风铃i 8 楼这个注入有点难崩, 不判断进程的吗 2023-11-2 15:27 0
Damn7Kx 雪币： 415 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 4 关注私信	Damn7Kx 9 楼 tql. 2023-11-2 17:13 0
wanttobeno 雪币： 6291 活跃值： (3300) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 215 粉丝 3 关注私信	wanttobeno 10 楼 ths 2023-11-2 17:36 0
veryluckko 雪币： 202 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 11 粉丝 1 关注私信	veryluckko 11 楼这游戏想外部有点麻烦了，w2s都加密。蛋疼 2023-11-3 07:08 0
秋狝雪币： 9116 活跃值： (33261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 39 关注私信	秋狝 12 楼感谢分享 2023-11-3 09:27 1
thisif 雪币： 1730 活跃值： (1470) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 13 粉丝 74 关注私信	thisif 13 楼常规的地方是0，矩阵应该来说放在其它地方了。至于解密现在游戏已经不下发客户端了 2023-11-3 13:27 0
veryluckko 雪币： 202 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 11 粉丝 1 关注私信	veryluckko 14 楼 thisif 常规的地方是0，矩阵应该来说放在其它地方了。至于解密现在游戏已经不下发客户端了用FMinimalViewInfo做W2S有偏差，目标距离准星越远偏的越厉害。。。ViewProjectionMatrix 看了下源码没找到存的地方 2023-11-3 13:42 0
Kiss s 雪币： 318 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Kiss s 15 楼 UE4 DUMP SDK有什么工具推荐下 2023-12-16 14:33 0
wx_Ruiny 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wx_Ruiny 16 楼阿秋需要push 感谢The finals为我提供了防特征的新思路可以私信下嘛 2024-1-13 15:01 0
dead.ash 雪币： 206 活跃值： (235) 能力值： ( LV3，RANK：32 ) 在线值：发帖 1 回帖 3 粉丝 1 关注私信	dead.ash 17 楼 QT.sys有没有已签名的32位的 2024-1-15 14:12 0
mb_xrcdmrqz 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	mb_xrcdmrqz 18 楼阿秋需要push 感谢The finals为我提供了防特征的新思路啥思路 2025-6-4 20:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

thisif

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
PlaneJun 雪币： 34 活跃值： (8249) 能力值： ( LV9，RANK：335 ) 在线值：发帖 23 回帖 115 粉丝 226 关注私信	PlaneJun 6 2 楼源码不发，一切都是扯淡 2023-11-2 08:50 0
veryluckko 雪币： 202 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 11 粉丝 1 关注私信	veryluckko 3 楼 widebits后面这些可以直接从ida cv的吗 2023-11-2 09:44 0
wx_墨_198 雪币： 710 活跃值： (3466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	wx_墨_198 4 楼想问下大佬的dump工具是哪个开源库修改的还是自己写的？我用的工具在处理头文件引用上经常出现错误 2023-11-2 12:18 0
thisif 雪币： 1730 活跃值： (1470) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 13 粉丝 74 关注私信	thisif 5 楼 wx_墨_198 想问下大佬的dump工具是哪个开源库修改的还是自己写的？我用的工具在处理头文件引用上经常出现错误引用错误正常的，一般小修一下就好了，把无用的类注释掉，一份SDK最多也就20来个吧 2023-11-2 12:44 0
阿秋需要push 雪币： 409 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 15 粉丝 1 关注私信	阿秋需要push 6 楼感谢The finals为我提供了防特征的新思路 2023-11-2 12:57 0
wx_墨_198 雪币： 710 活跃值： (3466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	wx_墨_198 7 楼 thisif 引用错误正常的，一般小修一下就好了，把无用的类注释掉，一份SDK最多也就20来个吧好的谢谢 2023-11-2 13:15 0
风铃i 雪币： 1742 活跃值： (2579) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 39 粉丝 11 关注私信	风铃i 8 楼这个注入有点难崩, 不判断进程的吗 2023-11-2 15:27 0
Damn7Kx 雪币： 415 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 24 粉丝 4 关注私信	Damn7Kx 9 楼 tql. 2023-11-2 17:13 0
wanttobeno 雪币： 6291 活跃值： (3300) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 215 粉丝 3 关注私信	wanttobeno 10 楼 ths 2023-11-2 17:36 0
veryluckko 雪币： 202 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 11 粉丝 1 关注私信	veryluckko 11 楼这游戏想外部有点麻烦了，w2s都加密。蛋疼 2023-11-3 07:08 0
秋狝雪币： 9116 活跃值： (33261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 39 关注私信	秋狝 12 楼感谢分享 2023-11-3 09:27 1
thisif 雪币： 1730 活跃值： (1470) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 13 粉丝 74 关注私信	thisif 13 楼常规的地方是0，矩阵应该来说放在其它地方了。至于解密现在游戏已经不下发客户端了 2023-11-3 13:27 0
veryluckko 雪币： 202 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 11 粉丝 1 关注私信	veryluckko 14 楼 thisif 常规的地方是0，矩阵应该来说放在其它地方了。至于解密现在游戏已经不下发客户端了用FMinimalViewInfo做W2S有偏差，目标距离准星越远偏的越厉害。。。ViewProjectionMatrix 看了下源码没找到存的地方 2023-11-3 13:42 0
Kiss s 雪币： 318 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Kiss s 15 楼 UE4 DUMP SDK有什么工具推荐下 2023-12-16 14:33 0
wx_Ruiny 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wx_Ruiny 16 楼阿秋需要push 感谢The finals为我提供了防特征的新思路可以私信下嘛 2024-1-13 15:01 0
dead.ash 雪币： 206 活跃值： (235) 能力值： ( LV3，RANK：32 ) 在线值：发帖 1 回帖 3 粉丝 1 关注私信	dead.ash 17 楼 QT.sys有没有已签名的32位的 2024-1-15 14:12 0
mb_xrcdmrqz 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	mb_xrcdmrqz 18 楼阿秋需要push 感谢The finals为我提供了防特征的新思路啥思路 2025-6-4 20:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复