-
-
[原创]不走寻常路,不修改代码段的DWM绘制
-
发表于: 2024-9-17 07:13
-
偶然发现dwm进程的Present函数调用_guard_dispatch_icall(控制流防护,微软很早就启用的一种安全防护机制,它主要是用于在发生间接跳转时,检查目标地址的合法性),这个函数在ntdll.dll里面(函数名是LdrpDispatchUserCallTarget),一般作为8字节函数地址被保存到PE的数据段。
那么就有趣起来了,直接替换数据段的函数地址来hook Present达到绘制的效果(也可以直接去ntdll里面挂钩),具体要怎么做呢?
具体流程为下:
1.拿到__guard_dispatch_icall_fptr,其内容替换成我们的函数指针
2.我们需要保存各个寄存器,在跳转回去之前恢复寄存器
3.通过返回地址判断是不是present,就是call cs:__guard_dispatch_icall_fptr + 6
4.SwapChain一般都是作为参数传进Present,直接寄存器拿
5.绘制完我们的东西后直接jmp rax或者调用ntdll的_guard_dispatch_icall
ok,流程已经很明白了,操作起来也是特别简单
获取__guard_dispatch_icall_fptr:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | auto d2d1 = (UINT64)GetModuleHandleA("d2d1.dll");auto DrawingContext = FindPatternImage(d2d1, "\x48\x8D\x05\x00\x00\x00\x00\x33\xED\x48\x8D\x71\x08", "xxx????xxxxxx");if (!DrawingContext) return FALSE;DrawingContext += + *(int*)(DrawingContext + 3) + 7;auto PresentMultiplaneOverlay = ((UINT64*)DrawingContext)[7];auto LdrpDispatchUserCallTarget = FindPattern(PresentMultiplaneOverlay, 0x50, "\xFF\x15", "xx");if (!LdrpDispatchUserCallTarget) return FALSE;PresentCall = LdrpDispatchUserCallTarget + 6;LdrpDispatchUserCallTarget += +*(int*)(LdrpDispatchUserCallTarget + 2) + 6; |
修改为我们的函数指针:
1 2 3 4 5 6 7 8 | auto Protect = 0ul;if (VirtualProtect((PVOID)LdrpDispatchUserCallTarget, 8, PAGE_READWRITE, &Protect)) { _InterlockedExchangePointer((PVOID*)LdrpDispatchUserCallTarget, AsmLdrpDispatchUserCallTarget); return VirtualProtect((PVOID)LdrpDispatchUserCallTarget, 8, Protect, &Protect);} |
我们的代理函数汇编代码:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 | AsmLdrpDispatchUserCallTarget PROC sub rsp, 100h mov [rsp + 00h], rax mov [rsp + 08h], rcx mov [rsp + 10h], rdx mov [rsp + 18h], rbx mov [rsp + 20h], rbp mov [rsp + 28h], rsi mov [rsp + 30h], rdi mov [rsp + 38h], r8 mov [rsp + 40h], r9 mov [rsp + 48h], r10 mov [rsp + 50h], r11 mov [rsp + 58h], r12 mov [rsp + 60h], r13 mov [rsp + 68h], r14 mov [rsp + 70h], r15 mov rax, [rsp + 100h] ; return address mov rcx, [PresentCall] ; call __guard_dispatch_icall_fptr + 6 cmp rax, rcx jne JmpOriginal mov rcx, rdx ; SwapChain sub rsp, 08h call Present add rsp, 08hJmpOriginal: mov rax, [rsp + 00h] mov rcx, [rsp + 08h] mov rdx, [rsp + 10h] mov rbx, [rsp + 18h] mov rbp, [rsp + 20h] mov rsi, [rsp + 28h] mov rdi, [rsp + 30h] mov r8, [rsp + 38h] mov r9, [rsp + 40h] mov r10, [rsp + 48h] mov r11, [rsp + 50h] mov r12, [rsp + 58h] mov r13, [rsp + 60h] mov r14, [rsp + 68h] mov r15, [rsp + 70h] add rsp, 100h jmp raxAsmLdrpDispatchUserCallTarget ENDP |
Present函数原型:
1 2 3 4 5 6 7 8 9 | __int64 __fastcall PresentMultiplaneOverlay( DrawingContext* this, struct IDXGISwapChainDWM1* a2, unsigned int a3, unsigned int a4, unsigned int a5, const void* a6, const struct _DXGI_PRESENT_MULTIPLANE_OVERLAY* a7, unsigned int a8); |
先判断返回地址是否是call __guard_dispatch_icall_fptr + 6,是的话就跳到我们的Present函数,直接将SwapChain作为参数传给我们的Present函数。
至此hook已经完成,剩下的就是初始化绘制,推荐使用比较方便的ImGui,附上效果图:
测试环境:win10 22h2,win11需要hook别的函数,在dwmcore.dll里面
完整代码:https://github.com/Yukin02/Dwm-Overlay
帮忙点个星星呗~
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
思路不错!
|
|
|
dwm不跑这段代码咋办 |
|
|
没进DrawContext::Present吧 |
|
|
都没跑,原本就不绘制 |
|
|
|
|
|
先看看dwm绘制提交走的哪个Present,源码里面的是DrawContext::Present,大部分win10都是走的这个函数 |
|
|
|
|
|
那就找调用的present啊,我这个特征码是老外找的 |
|
|
不会 
|
|
|
绘制提交的present不是在d2d1.dll就是在dwmcore.dll,拖到ida里面直接找present函数,然后ce挨个试,直接清空函数头部看看dwm进程会不会蹦,饭都喂到嘴上了 |
|
|
函数名叫啥 |
|
|
|
|
|
|
