[原创] 记录一次鹅厂反作弊绕过之利用回调完成异常派遣的提前接收-软件逆向-看雪安全社区

[原创] 记录一次鹅厂反作弊绕过之利用回调完成异常派遣的提前接收

发表于: 2024-5-14 11:11 18529

[原创] 记录一次鹅厂反作弊绕过之利用回调完成异常派遣的提前接收

GN-顾念

2024-5-14 11:11

18529

emm...
大概半年之前鹅厂反作弊某次更新后偶然发现在调用AddVectoredExceptionHandler注册了一个异常处理函数不到几分钟就封号了，这让我产生了bypass的想法，于是在网上找了找资料还真有了思路。
下面给大家介绍具体的原理吧。

那段时间在网上看到一个非常有意思的尾部挂钩方法： InstrumentationCallback
在KPROCESS结构的偏移地址0x2c8处，包含一个名为InstrumentationCallback的域，Windows系统Vista以及之后的版本中，可以使用InstrumentationCallback域来指定回调函数的地址，每次函数从内核态返回用户态之后系统都会调用指定的回调函数。
至于原理大致就是以上阐述的，那么了解Windows的异常派遣机制后可以知道每次系统产生异常时会从内核返回到用户层，既然这样那么我们是不是可以通过回调在回用户层的时候先拦截派遣，调用我们的异常处理函数后再放过它回去执行原来的派遣呢？
实践出真理，那就行用来验证想法是否正确吧。

创建一个动态库项目：
定义一个Exception类后来写一个注册回调和异常函数安装的功能吧

至于为什么要自己实现syscall和拿RtlRestoreContext偏移放到后面用的时候再说，这里主要是拿到KiUserExceptionDispatcher函数地址，用于回调中判断是否为我们想拦截的函数。
写一段回调的汇编：

当我们注册了回调后，内核返回应用层会首先执行我们的CallbackEntry
下面实现MyCallbackRoutine：

如果rip是KiUserExceptionDispatcher地址那么我们就先调用我们注册的回调函数处理异常后判断返回值影响执行原始异常派遣流程。

上面获取RtlRestoreContext主要是因为在这里直接调用此函数达不到用户模式上下文的设置效果导致进程崩溃，所以我这里就先通过特征码定位到它在KiUserExceptionDispatcher函数中的偏移，修改rip让他返回执行到这里就正常啦！

这里的_self_exception_api类型为：typedef LONG(__stdcall* pfnExceptionHandlerApi)(PEXCEPTION_RECORD ExceptionRecord, PCONTEXT context)，后面介绍这个。
到这里回调基本就跑起来了，接下来实现修改设置硬件断点（dr0-3）0-3
实现设置硬断函数：

这里逻辑比较混乱，毕竟半年前写的了...朋友们这里可以自行修改。

上面说的自己实现syscall是因为怕反作弊勾住NtSuspendThread、NtSetContextThread所以干脆自己写不过它的钩子。

另外对于操作的线程一定要排除掉自己的线程，别把自己线程给暂停了恢复不起来(#^.^#)，至于设置硬断的坑朋友们自己去踏吧>.<。

到这里此Exception类基本完成了，下面在类外定义好自己的回调函数

定义自己的异常处理函数：

上图中注释的地方展示了我的Hook点，相信懂鹅厂家反作弊的朋友都知道是什么函数了(#^.^#)。

上面拿了Rsi寄存器，它在保存的是Caller地址
Rsp+0x20指向Callee地址。
最后附上函数调用：

经过上面一顿折腾后来启动游戏看看效果：

OK，大功告成！
分析到此结束。

最后想说的是鹅厂不知道在干嘛，之前检测异常现在就放任不管了，dr也不去遍历>.< 还是希望早点修复吧。
另外有不足的地方还请大家多多指教。
贴上项目地址：007K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6Y4L8U0t1%4y4#2)9J5c8V1g2^5j5$3g2H3N6r3W2G2L8V1u0&6d9h3&6K6N6p5y4S2L8r3I4T1j5h3y4C8i4K6u0W2k6$3W2@1

bool Exception::InstallException(pfnExceptionHandlerApi p_exception_api)
{
    DWORD old;
 
    //获取syscall函数地址
    NtSetContextThread = (pfnNtSetContextThread)NtSetContextThreadProc;
    ::VirtualProtect((PVOID)((DWORD64)&NtSetContextThreadProc + 0x04), 4, PAGE_EXECUTE_READWRITE, &old);
    *(DWORD*)((DWORD64)&NtSetContextThreadProc + 0x04) = (DWORD)GetSSDTIndexByName("NtSetContextThread");
    ::VirtualProtect((PVOID)((DWORD64)&NtSetContextThreadProc + 0x04), 4, old, NULL);
 
    NtSuspendThread = (pfnNtSuspendThread)NtSuspendThreadProc;
    ::VirtualProtect((PVOID)((DWORD64)&NtSuspendThreadProc + 0x04), 4, PAGE_EXECUTE_READWRITE, &old);
    *(DWORD*)((DWORD64)&NtSuspendThreadProc + 0x04) = (DWORD)GetSSDTIndexByName("NtSuspendThread");
    ::VirtualProtect((PVOID)((DWORD64)&NtSuspendThreadProc + 0x04), 4, old, NULL);
 
    NtResumeThread = (pfnNtResumeThread)NtResumeThreadProc;
    ::VirtualProtect((PVOID)((DWORD64)&NtResumeThreadProc + 0x04), 4, PAGE_EXECUTE_READWRITE, &old);
    *(DWORD*)((DWORD64)&NtResumeThreadProc + 0x04) = (DWORD)GetSSDTIndexByName("NtResumeThread");
    ::VirtualProtect((PVOID)((DWORD64)&NtResumeThreadProc + 0x04), 4, old, NULL);
 
    NtContinue = (pfnNtContinue)NtContinueProc;
    ::VirtualProtect((PVOID)((DWORD64)&NtContinueProc + 0x04), 4, PAGE_EXECUTE_READWRITE, &old);
    *(DWORD*)((DWORD64)&NtContinueProc + 0x04) = (DWORD)GetSSDTIndexByName("NtContinue");
    ::VirtualProtect((PVOID)((DWORD64)&NtContinueProc + 0x04), 4, old, NULL);
 
 
    //保存函数指针
    this->_self_exception_api = p_exception_api;
 
    HMODULE ntdll = ::GetModuleHandleA("ntdll.dll");
    if (ntdll == NULL)
        ntdll = ::LoadLibraryA("ntdll.dll");
    //获取hook的返回地址
    sysret_address = (DWORD64)::GetProcAddress(ntdll, "KiUserExceptionDispatcher");
    if (sysret_address == NULL)
        sysret_address = (DWORD64)::GetProcAddress(ntdll, "KiUserExceptionDispatcher");
    rtl_restore_context_offset = this->GetOffset(sysret_address, 0x70, 0x10);
    if (rtl_restore_context_offset <= 0)
        ::MessageBoxA(::GetActiveWindow(), "未找到函数偏移", "Error", MB_OK);
 
    PROCESS_INSTRUMENTATION_CALLBACK_INFORMATION info;
    info.Version = 0;
    info.Reserved = 0;
    info.Callback = MyCallbackEntry;
    ULONG status = NtSetInformationProcess(GetCurrentProcess(), 0x28, &info, sizeof(info));
    if (status)
        return false;
 
    return true;
}

bool Exception::InstallException(pfnExceptionHandlerApi p_exception_api)

{

DWORD old;

//获取syscall函数地址

NtSetContextThread = (pfnNtSetContextThread)NtSetContextThreadProc;

::VirtualProtect((PVOID)((DWORD64)&NtSetContextThreadProc + 0x04), 4, PAGE_EXECUTE_READWRITE, &old);

*(DWORD*)((DWORD64)&NtSetContextThreadProc + 0x04) = (DWORD)GetSSDTIndexByName("NtSetContextThread");

::VirtualProtect((PVOID)((DWORD64)&NtSetContextThreadProc + 0x04), 4, old, NULL);

NtSuspendThread = (pfnNtSuspendThread)NtSuspendThreadProc;

::VirtualProtect((PVOID)((DWORD64)&NtSuspendThreadProc + 0x04), 4, PAGE_EXECUTE_READWRITE, &old);

*(DWORD*)((DWORD64)&NtSuspendThreadProc + 0x04) = (DWORD)GetSSDTIndexByName("NtSuspendThread");

::VirtualProtect((PVOID)((DWORD64)&NtSuspendThreadProc + 0x04), 4, old, NULL);

NtResumeThread = (pfnNtResumeThread)NtResumeThreadProc;

::VirtualProtect((PVOID)((DWORD64)&NtResumeThreadProc + 0x04), 4, PAGE_EXECUTE_READWRITE, &old);

*(DWORD*)((DWORD64)&NtResumeThreadProc + 0x04) = (DWORD)GetSSDTIndexByName("NtResumeThread");

::VirtualProtect((PVOID)((DWORD64)&NtResumeThreadProc + 0x04), 4, old, NULL);

NtContinue = (pfnNtContinue)NtContinueProc;

::VirtualProtect((PVOID)((DWORD64)&NtContinueProc + 0x04), 4, PAGE_EXECUTE_READWRITE, &old);

*(DWORD*)((DWORD64)&NtContinueProc + 0x04) = (DWORD)GetSSDTIndexByName("NtContinue");

::VirtualProtect((PVOID)((DWORD64)&NtContinueProc + 0x04), 4, old, NULL);

//保存函数指针

this->_self_exception_api = p_exception_api;

HMODULE ntdll = ::GetModuleHandleA("ntdll.dll");

if (ntdll == NULL)

ntdll = ::LoadLibraryA("ntdll.dll");

//获取hook的返回地址

sysret_address = (DWORD64)::GetProcAddress(ntdll, "KiUserExceptionDispatcher");

if (sysret_address == NULL)

sysret_address = (DWORD64)::GetProcAddress(ntdll, "KiUserExceptionDispatcher");

rtl_restore_context_offset = this->GetOffset(sysret_address, 0x70, 0x10);

if (rtl_restore_context_offset <= 0)

::MessageBoxA(::GetActiveWindow(), "未找到函数偏移", "Error", MB_OK);

PROCESS_INSTRUMENTATION_CALLBACK_INFORMATION info;

info.Version = 0;

info.Reserved = 0;

info.Callback = MyCallbackEntry;

ULONG status = NtSetInformationProcess(GetCurrentProcess(), 0x28, &info, sizeof(info));

if (status)

return false;

return true;

}

MyCallbackEntry PROC
    mov gs:[2E0H], rsp              ;Win10 TEB InstrumentationCallbackPreviousSp (保存的线程参数地址)
    mov gs:[2D8H], r10              ;Win10 TEB InstrumentationCallbackPreviousPc (syscall 的返回地址)
 
    mov r10, rcx                    ;保存rcx
    sub rsp, 4D0H                   ;Context结构大小
    and rsp, -10H                   ;align rsp
    mov rcx, rsp                    ;parameters are fun
    call __imp_RtlCaptureContext    ;保存线程Context上下文
 
    sub rsp, 20H                    ;开辟栈空间
    call MyCallbackRoutine          ;调用我们的函数
 
    int 3                           ;不应该执行到这里
MyCallbackEntry ENDP

MyCallbackEntry PROC

mov gs:[2E0H], rsp ;Win10 TEB InstrumentationCallbackPreviousSp (保存的线程参数地址)

mov gs:[2D8H], r10 ;Win10 TEB InstrumentationCallbackPreviousPc (syscall 的返回地址)

mov r10, rcx ;保存rcx

sub rsp, 4D0H ;Context结构大小

and rsp, -10H ;align rsp

mov rcx, rsp ;parameters are fun

call __imp_RtlCaptureContext ;保存线程Context上下文

sub rsp, 20H ;开辟栈空间

call MyCallbackRoutine ;调用我们的函数

int 3 ;不应该执行到这里

MyCallbackEntry ENDP

void MyCallbackRoutine(CONTEXT* context)
{
    context->Rip = __readgsqword(0x02D8);//syscall 的返回地址
    context->Rsp = __readgsqword(0x02E0);//context = rsp, ExceptionRecord = rsp + 0x4F0
    context->Rcx = context->R10;
 
    if (context->Rip == sysret_address)
        if (exception->_self_exception_api((PEXCEPTION_RECORD)(context->Rsp + 0x4F0), (PCONTEXT)context->Rsp) == EXCEPTION_CONTINUE_EXECUTION)
            context->Rip = rtl_restore_context_offset;
 
    NtContinue(context, 0);
}

void MyCallbackRoutine(CONTEXT* context)

{

context->Rip = __readgsqword(0x02D8);//syscall 的返回地址

context->Rsp = __readgsqword(0x02E0);//context = rsp, ExceptionRecord = rsp + 0x4F0

context->Rcx = context->R10;

if (context->Rip == sysret_address)

if (exception->_self_exception_api((PEXCEPTION_RECORD)(context->Rsp + 0x4F0), (PCONTEXT)context->Rsp) == EXCEPTION_CONTINUE_EXECUTION)

context->Rip = rtl_restore_context_offset;

NtContinue(context, 0);

}

int Exception::SetHardWareBreakPoint(const wchar_t* main_modulename, DWORD64 dr7_statu, DWORD64 dr0, DWORD64 dr1, DWORD64 dr2, DWORD64 dr3)
{
    this->_dr0 = dr0;
    this->_dr1 = dr1;
    this->_dr2 = dr2;
    this->_dr3 = dr3;
 
    //遍历线程 通过openthread获取到线程环境后设置硬件断点
    HANDLE hTool32 = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);
    if (hTool32 != INVALID_HANDLE_VALUE)
    {
        THREADENTRY32 thread_entry32;                       //线程环境结构体
        thread_entry32.dwSize = sizeof(THREADENTRY32);
        HANDLE h_hook_thread = NULL;
        MODULEINFO module_info = { 0 };                     //模块信息
 
        HANDLE target_modulehandle = GetModuleHandleW(main_modulename);
 
        //从 ntdll.dll 中取出 ZwQueryInformationThread
        (FARPROC&)ZwQueryInformationThread = ::GetProcAddress(GetModuleHandleA("ntdll"), "ZwQueryInformationThread");
 
        if (target_modulehandle != 0)
        {
            //获取模块结束地址
            GetModuleInformation(GetCurrentProcess(), (HMODULE)target_modulehandle, &module_info, sizeof(MODULEINFO));
            __int64 target_modulehandle_endaddress = ((__int64)module_info.lpBaseOfDll + module_info.SizeOfImage);
            //遍历线程
            if (Thread32First(hTool32, &thread_entry32))
            {
                do
                {
                    //如果线程父进程ID为当前进程ID
                    if (thread_entry32.th32OwnerProcessID == GetCurrentProcessId())
                    {
                        h_hook_thread = OpenThread(THREAD_ALL_ACCESS, FALSE, thread_entry32.th32ThreadID);
                        // 获取线程入口地址
                        PVOID startaddr;//用来接收线程入口地址
                        ZwQueryInformationThread(h_hook_thread, (THREADINFOCLASS)ThreadQuerySetWin32StartAddress, &startaddr, sizeof(startaddr), NULL);
                        if (((__int64)startaddr >= (__int64)target_modulehandle) && ((__int64)startaddr <= target_modulehandle_endaddress))
                        {
                            //暂停线程
                            ULONG previous_count = NULL;
                            NtSuspendThread(h_hook_thread, &previous_count);
 
                            //设置硬件断点
                            CONTEXT thread_context = { CONTEXT_DEBUG_REGISTERS };
                            thread_context.ContextFlags = CONTEXT_ALL;
                            //得到指定线程的环境（上下文）
                            if (!GetThreadContext(h_hook_thread, &thread_context))
                                return 3;
                            thread_context.Dr0 = dr0;
                            thread_context.Dr1 = dr1;
                            thread_context.Dr2 = dr2;
                            thread_context.Dr3 = dr3;
                            thread_context.Dr7 = dr7_statu;
                            if (NtSetContextThread(h_hook_thread, &thread_context) != NULL)
                                return 4;
 
                            if (!GetThreadContext(h_hook_thread, &thread_context))
                                return 3;
 
                            //恢复线程
                            NtResumeThread(h_hook_thread, &previous_count);
                        }
                        CloseHandle(h_hook_thread);
                    }
                } while (Thread32Next(hTool32, &thread_entry32));
            }
            CloseHandle(hTool32);
            return true;
        }
        else
            return 2;//模块句柄获取失败
    }
    return 0;
}

int Exception::SetHardWareBreakPoint(const wchar_t* main_modulename, DWORD64 dr7_statu, DWORD64 dr0, DWORD64 dr1, DWORD64 dr2, DWORD64 dr3)

{

this->_dr0 = dr0;

this->_dr1 = dr1;

this->_dr2 = dr2;

this->_dr3 = dr3;

//遍历线程通过openthread获取到线程环境后设置硬件断点

HANDLE hTool32 = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);

if (hTool32 != INVALID_HANDLE_VALUE)

{

THREADENTRY32 thread_entry32; //线程环境结构体

thread_entry32.dwSize = sizeof(THREADENTRY32);

HANDLE h_hook_thread = NULL;

MODULEINFO module_info = { 0 }; //模块信息

HANDLE target_modulehandle = GetModuleHandleW(main_modulename);

//从 ntdll.dll 中取出 ZwQueryInformationThread

(FARPROC&)ZwQueryInformationThread = ::GetProcAddress(GetModuleHandleA("ntdll"), "ZwQueryInformationThread");

if (target_modulehandle != 0)

登录后可查看完整内容

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！

#软件保护 #系统底层 #调试逆向

收藏・47

免费・12

支持

最新回复 (20)
Dr_Knox 雪币： 2377 活跃值： (3816) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 4 粉丝 12 关注私信	Dr_Knox 2 楼强的哥们，想问下如果我用InstrumentationCallback来设置RIP跳转shellcode进行内存注入理论上可行吗? 2024-5-15 14:18 0
GN-顾念雪币： 766 活跃值： (801) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 12 关注私信	GN-顾念 3 楼我试过可以注入的，记得做好内存释放时机的判断 2024-5-15 14:47 1
mb_argpsphl 雪币： 112 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 18 粉丝 2 关注私信	mb_argpsphl 4 楼硬断检测研究了好几天一点头绪都没有根据前辈的思路在用户层异常派遣时清空dr和hook 都还是秒噶 2024-5-15 19:21 0
mb_argpsphl 雪币： 112 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 18 粉丝 2 关注私信	mb_argpsphl 5 楼 hook GetThreadContext 2024-5-15 19:23 0
GN-顾念雪币： 766 活跃值： (801) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 12 关注私信	GN-顾念 6 楼 mb_argpsphl [em_4]硬断检测研究了好几天一点头绪都没有根据前辈的思路在用户层异常派遣时清空dr和hook [em_35]都还是秒噶哪家的反作弊 2024-5-15 19:59 0
mb_argpsphl 雪币： 112 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 18 粉丝 2 关注私信	mb_argpsphl 7 楼 GN-顾念哪家的反作弊企鹅厂我试过Suspend drv模块的线程可以暂时干掉但不是个长久之计加了混淆也搞不明白啥原理 2024-5-15 20:19 0
GN-顾念雪币： 766 活跃值： (801) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 12 关注私信	GN-顾念 8 楼 mb_argpsphl 企鹅厂我试过Suspend drv模块的线程可以暂时干掉但不是个长久之计加了混淆也搞不明白啥原理你是不是用AddVectoredExceptionHandler注册了异常处理函数，我记得它半年前在KiUserExceptionDispatcher这个函数里某个地方下了个hook大概率是通过派遣异常时进入他的检测函数遍历到了你注册的异常处理函数，并不会去扫dr寄存器。我测过只要不向VEH链表里插函数就没事 2024-5-15 20:29 0
mb_argpsphl 雪币： 112 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 18 粉丝 2 关注私信	mb_argpsphl 9 楼 GN-顾念你是不是用AddVectoredExceptionHandler注册了异常处理函数，我记得它半年前在KiUserExceptionDispatcher这个函数里某个地方下了个hook大概率是通过派遣异 ... 没有我目前的方法是hook KiUserExceptionDispatcher处理异常+内存断点方案但是bug多又慢 2024-5-15 20:48 0
GN-顾念雪币： 766 活跃值： (801) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 12 关注私信	GN-顾念 10 楼 mb_argpsphl 没有我目前的方法是hook KiUserExceptionDispatcher处理异常+内存断点方案但是bug多又慢 crc也是个问题 2024-5-15 20:58 0
mb_argpsphl 雪币： 112 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 18 粉丝 2 关注私信	mb_argpsphl 11 楼也不能说crc 测试下来只要动dr就嘎 2024-5-15 21:31 0
GN-顾念雪币： 766 活跃值： (801) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 12 关注私信	GN-顾念 12 楼 mb_argpsphl 也不能说crc 测试下来只要动dr就嘎可以用回调注册自己的异常派遣配合软断，不需要去hook函数 2024-5-15 21:39 0
hzqst 雪币： 12885 活跃值： (9437) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1791 粉丝 623 关注私信	hzqst 3 13 楼不是，这波我失误了，我以为没那么多检测的，我感觉下次我就不会被嘎号了。我是看这个藤子他这个检测关了我就上了，主要是我代码的执行速度是藤子代码的七倍我才上的，我原本想的是在它检测到我之前就执行完了的，但是没办法，检测来的太快了我没躲开。没办法，检测来的太快了，我觉得我这个代码是可以跟ACE换血的，主要是因为我当时的代码有ACE七倍的执行速度，我要是没有ACE七倍的执行速度我都不会去碰这个检测，而且当时检测的hook已经没了，我才去碰这个检测的。不是，你不把反作弊开在那儿我能去绕吗？反作弊放那儿不就是让人绕的吗？不是，我知道有调试器，调试器能让检测失效吗？最后于 2024-5-15 22:23 被hzqst编辑，原因： 2024-5-15 22:09 0
mb_argpsphl 雪币： 112 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 18 粉丝 2 关注私信	mb_argpsphl 14 楼 GN-顾念可以用回调注册自己的异常派遣配合软断，不需要去hook函数软断就会处罚hook点的crc了 2024-5-15 22:30 0
mb_argpsphl 雪币： 112 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 18 粉丝 2 关注私信	mb_argpsphl 15 楼可能是你那个游戏没开dr调试寄存器的检测我这个测试veh和dr都有还有自己的异常处理走不到seh 2024-5-15 22:32 0
clestor 雪币： 12 活跃值： (1079) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 3 关注私信	clestor 16 楼懂了，下次DR寄存器占坑，看你怎么操作。 2024-5-15 22:48 1
mb_wdgnqlfd 雪币： 123 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	mb_wdgnqlfd 17 楼 win7 有人尝试过吗 2024-5-27 20:13 0
GN-顾念雪币： 766 活跃值： (801) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 12 关注私信	GN-顾念 18 楼 mb_wdgnqlfd win7 有人尝试过吗 win7需要更新获取RtlRestoreContext偏移的硬编码 2024-5-28 08:41 0
院士雪币： 5732 活跃值： (6135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 223 粉丝 3 关注私信	院士 19 楼感谢分享，学习。 2024-6-23 09:38 1
mb_wdzhnevo 雪币： 768 活跃值： (1933) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 58 粉丝 6 关注私信	mb_wdzhnevo 20 楼不知为毛，我hook了KiUserExceptionDispatcher死活不弹异常 BYTE* pKiUserExceptionDispatcher = (BYTE)GetProcAddress(hNtdll, "KiUserExceptionDispatcher"); MH_CreateHook(pKiUserExceptionDispatcher, &MyKiUserExceptionDispatcher, reinterpret_cast<LPVOID>(&fpKiUserExceptionDispatcher)); if (MH_EnableHook(pKiUserExceptionDispatcher) != MH_OK) { MessageBoxW(NULL, L"Failed to enable hook for KiUserExceptionDispatcher", L"Error", MB_OK \| MB_ICONERROR); return; } int* p = NULL; *p = 1; VOID NTAPI MyKiUserExceptionDispatcher( PEXCEPTION_RECORD ExceptionRecord, PCONTEXT ContextRecord ) { DebugOutput(">>> 捕获到异常!\n"); } 2025-8-30 01:19 0
若言雪币： 45 活跃值： (115) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 13 粉丝 1 关注私信	若言 21 楼大佬可以留个联系方式吗5w去绕三角洲 2025-10-18 17:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

GN-顾念

发帖

回帖

RANK

关注

私信

他的文章

[原创] 记录一次鹅厂反作弊绕过之利用回调完成异常派遣的提前接收 18530

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
Dr_Knox 雪币： 2377 活跃值： (3816) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 4 粉丝 12 关注私信	Dr_Knox 2 楼强的哥们，想问下如果我用InstrumentationCallback来设置RIP跳转shellcode进行内存注入理论上可行吗? 2024-5-15 14:18 0
GN-顾念雪币： 766 活跃值： (801) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 12 关注私信	GN-顾念 3 楼我试过可以注入的，记得做好内存释放时机的判断 2024-5-15 14:47 1
mb_argpsphl 雪币： 112 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 18 粉丝 2 关注私信	mb_argpsphl 4 楼硬断检测研究了好几天一点头绪都没有根据前辈的思路在用户层异常派遣时清空dr和hook 都还是秒噶 2024-5-15 19:21 0
mb_argpsphl 雪币： 112 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 18 粉丝 2 关注私信	mb_argpsphl 5 楼 hook GetThreadContext 2024-5-15 19:23 0
GN-顾念雪币： 766 活跃值： (801) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 12 关注私信	GN-顾念 6 楼 mb_argpsphl [em_4]硬断检测研究了好几天一点头绪都没有根据前辈的思路在用户层异常派遣时清空dr和hook [em_35]都还是秒噶哪家的反作弊 2024-5-15 19:59 0
mb_argpsphl 雪币： 112 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 18 粉丝 2 关注私信	mb_argpsphl 7 楼 GN-顾念哪家的反作弊企鹅厂我试过Suspend drv模块的线程可以暂时干掉但不是个长久之计加了混淆也搞不明白啥原理 2024-5-15 20:19 0
GN-顾念雪币： 766 活跃值： (801) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 12 关注私信	GN-顾念 8 楼 mb_argpsphl 企鹅厂我试过Suspend drv模块的线程可以暂时干掉但不是个长久之计加了混淆也搞不明白啥原理你是不是用AddVectoredExceptionHandler注册了异常处理函数，我记得它半年前在KiUserExceptionDispatcher这个函数里某个地方下了个hook大概率是通过派遣异常时进入他的检测函数遍历到了你注册的异常处理函数，并不会去扫dr寄存器。我测过只要不向VEH链表里插函数就没事 2024-5-15 20:29 0
mb_argpsphl 雪币： 112 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 18 粉丝 2 关注私信	mb_argpsphl 9 楼 GN-顾念你是不是用AddVectoredExceptionHandler注册了异常处理函数，我记得它半年前在KiUserExceptionDispatcher这个函数里某个地方下了个hook大概率是通过派遣异 ... 没有我目前的方法是hook KiUserExceptionDispatcher处理异常+内存断点方案但是bug多又慢 2024-5-15 20:48 0
GN-顾念雪币： 766 活跃值： (801) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 12 关注私信	GN-顾念 10 楼 mb_argpsphl 没有我目前的方法是hook KiUserExceptionDispatcher处理异常+内存断点方案但是bug多又慢 crc也是个问题 2024-5-15 20:58 0
mb_argpsphl 雪币： 112 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 18 粉丝 2 关注私信	mb_argpsphl 11 楼也不能说crc 测试下来只要动dr就嘎 2024-5-15 21:31 0
GN-顾念雪币： 766 活跃值： (801) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 12 关注私信	GN-顾念 12 楼 mb_argpsphl 也不能说crc 测试下来只要动dr就嘎可以用回调注册自己的异常派遣配合软断，不需要去hook函数 2024-5-15 21:39 0
hzqst 雪币： 12885 活跃值： (9437) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1791 粉丝 623 关注私信	hzqst 3 13 楼不是，这波我失误了，我以为没那么多检测的，我感觉下次我就不会被嘎号了。我是看这个藤子他这个检测关了我就上了，主要是我代码的执行速度是藤子代码的七倍我才上的，我原本想的是在它检测到我之前就执行完了的，但是没办法，检测来的太快了我没躲开。没办法，检测来的太快了，我觉得我这个代码是可以跟ACE换血的，主要是因为我当时的代码有ACE七倍的执行速度，我要是没有ACE七倍的执行速度我都不会去碰这个检测，而且当时检测的hook已经没了，我才去碰这个检测的。不是，你不把反作弊开在那儿我能去绕吗？反作弊放那儿不就是让人绕的吗？不是，我知道有调试器，调试器能让检测失效吗？最后于 2024-5-15 22:23 被hzqst编辑，原因： 2024-5-15 22:09 0
mb_argpsphl 雪币： 112 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 18 粉丝 2 关注私信	mb_argpsphl 14 楼 GN-顾念可以用回调注册自己的异常派遣配合软断，不需要去hook函数软断就会处罚hook点的crc了 2024-5-15 22:30 0
mb_argpsphl 雪币： 112 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 18 粉丝 2 关注私信	mb_argpsphl 15 楼可能是你那个游戏没开dr调试寄存器的检测我这个测试veh和dr都有还有自己的异常处理走不到seh 2024-5-15 22:32 0
clestor 雪币： 12 活跃值： (1079) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 3 关注私信	clestor 16 楼懂了，下次DR寄存器占坑，看你怎么操作。 2024-5-15 22:48 1
mb_wdgnqlfd 雪币： 123 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	mb_wdgnqlfd 17 楼 win7 有人尝试过吗 2024-5-27 20:13 0
GN-顾念雪币： 766 活跃值： (801) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 12 关注私信	GN-顾念 18 楼 mb_wdgnqlfd win7 有人尝试过吗 win7需要更新获取RtlRestoreContext偏移的硬编码 2024-5-28 08:41 0
院士雪币： 5732 活跃值： (6135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 223 粉丝 3 关注私信	院士 19 楼感谢分享，学习。 2024-6-23 09:38 1
mb_wdzhnevo 雪币： 768 活跃值： (1933) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 58 粉丝 6 关注私信	mb_wdzhnevo 20 楼不知为毛，我hook了KiUserExceptionDispatcher死活不弹异常 BYTE* pKiUserExceptionDispatcher = (BYTE)GetProcAddress(hNtdll, "KiUserExceptionDispatcher"); MH_CreateHook(pKiUserExceptionDispatcher, &MyKiUserExceptionDispatcher, reinterpret_cast<LPVOID>(&fpKiUserExceptionDispatcher)); if (MH_EnableHook(pKiUserExceptionDispatcher) != MH_OK) { MessageBoxW(NULL, L"Failed to enable hook for KiUserExceptionDispatcher", L"Error", MB_OK \| MB_ICONERROR); return; } int* p = NULL; *p = 1; VOID NTAPI MyKiUserExceptionDispatcher( PEXCEPTION_RECORD ExceptionRecord, PCONTEXT ContextRecord ) { DebugOutput(">>> 捕获到异常!\n"); } 2025-8-30 01:19 0
若言雪币： 45 活跃值： (115) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 13 粉丝 1 关注私信	若言 21 楼大佬可以留个联系方式吗5w去绕三角洲 2025-10-18 17:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复