KiFastCallEntry过游戏驱动保护新玩法

haha0518

内核重载+Hook KiFastCallEntry已经烂大街，白菜价格的技术了，所以我们要创新，我们要有新玩法：内核重载新玩法---借尸还魂。什么叫借尸还魂？基本的解释就是：迷信传说人死后灵魂还会借别人的尸体复活。但是用在计算机里面，顾名思义就是借助别人的东西来实现自己的目的。也就是借尸还魂的基本理论：借助360的HookPort，我们再Hook 360这个函数，即可绕过一些游戏保护对此函数的检测。那我们现在先来看360对KiFastCallEntry的Hook：

1. 80542600 8b3f            mov     edi,dword ptr [edi]
   
2. 80542602 8b1c87          mov     ebx,dword ptr [edi+eax*4]
   
3. 80542605 e9d6945109      jmp     89a5bae0
   
4. 
   
5. lkd> u 89a5bae0
   
6. 89a5bae0 e91f5e8527      jmp     b12b1904
   
7. 89a5bae5 0000            add     byte ptr [eax],al
   
8. 89a5bae7 0002            add     byte ptr [edx],al
   
9. 89a5bae9 0003            add     byte ptr [ebx],al
   
10. 
    
11. lkd> u b12b1904 l 20
    
12. b12b1904 8bff            mov     edi,edi
    
13. b12b1906 9c              pushfd
    
14. b12b1907 60              pushad
    
15. b12b1908 57              push    edi
    
16. b12b1909 53              push    ebx
    
17. b12b190a 50              push    eax
    
18. b12b190b e860ffffff      call    b12b1870
    
19. b12b1910 89442410        mov     dword ptr [esp+10h],eax
    
20. b12b1914 61              popad
    
21. b12b1915 9d              popfd
    
22. b12b1916 2be1            sub     esp,ecx
    
23. b12b1918 c1e902          shr     ecx,2
    
24. b12b191b ff351c432bb1    push    dword ptr ds:[0B12B431Ch]
    
25. b12b1921 c3              ret

复制代码

我们怎么知道360这个Hook函数的参数，以及返回地址是什么含义呢？

1. b12b1908 57              push    edi
   
2. b12b1909 53              push    ebx
   
3. b12b190a 50              push    eax
   
4. b12b190b e860ffffff      call    b12b1870

复制代码

自己hook b12b1870，打印出來這些參數，就懂了。。

帖子的核心：借助360的HookPort，然后我们在Hook 360的地址，这样一来，游戏保护就会认为KiFastCallEntry是被360的Hook着，但是实际上，我们已经接管了360的HookPort

最後放馬：

1. NTSTATUS NewNtOpenProcess(
   
2. PHANDLE ProcessHandle,
   
3. ACCESS_MASK DesiredAccess,
   
4. POBJECT_ATTRIBUTES ObjectAttributes,
   
5. PCLIENT_ID ClientId
   
6. )
   
7. {
   
8. if (KeGetCurrentIrql() == PASSIVE_LEVEL){
   
9. KdPrint(("NtOpenProcess() by %s\r\n",PsGetProcessImageFileName(PsGetCurrentProcess())));
   
10. }
    
11. //这里直接调用我们的重载函数，这样一来就可以直接绕过游戏保护对NtOpenProcess此函数的Hook
    
12. //我们可以做个判断，如果是0D，就要走重载内核的函数
    
13. //如果是游戏调用，就要走原始函数地址
    
14. return ReloadNtOpenProcess(ProcessHandle,DesiredAccess,ObjectAttributes,ClientId);
    
15. }
    
16. //这个是360的过滤函数
    
17. //参数：1ssdt服务号，2当前调用的ssdt函数地址，3KiServiceTable
    
18. //返回值：假设如果调用的是NtOpenProcess，那么返回的是360自己的过滤函数，如果调用的是其他360不关心的函数，则直接返回
    
19. PVOID NewHookPortFunction(__in ULONG ulong_ssdt_number,
    
20. __in PVOID pvoid_ssdt_function_address,
    
21. __in PVOID KiServiceTable
    
22. )
    
23. {
    
24. PVOID pvoid_360_call_ret;
    
25. 
    
26. //首先调用360这个原始函数
    
27. HookPortFunction = (HOOKPORTFUNCTION)HookPortFunctionHookZone;
    
28. pvoid_360_call_ret = HookPortFunction(ulong_ssdt_number,pvoid_ssdt_function_address,KiServiceTable);
    
29. 
    
30. //for test
    
31. if (ulong_ssdt_number == 122)
    
32. {
    
33. KdPrint(("pvoid_360_call_ret:%08X %08X\r\n",pvoid_360_call_ret,pvoid_ssdt_function_address));
    
34. 
    
35. //直接返回我们自己的过滤函数地址，这样就达到了借尸还魂的目的
    
36. return NewNtOpenProcess;
    
37. }
    
38. return pvoid_360_call_ret;
    
39. }

复制代码