龙马谷

 找回密码
 立即注册

QQ登录

只需一步,快速开始

龙马谷VIP会员办理客服QQ:82926983(如果临时会话没有收到回复,请先加QQ好友再发。)
1 [已完结] GG修改器新手入门与实战教程 31课 2 [已完结] GG修改器美化修改教程 6课 3 [已完结] GG修改器Lua脚本新手入门教程 12课
4 [已完结] 触动精灵脚本新手入门必学教程 22课 5 [已完结] 手游自动化脚本入门实战教程 9课 6 [已完结] C++射击游戏方框骨骼透视与自瞄教程 27课
7 [已完结] C++零基础UE4逆向开发FPS透视自瞄教程 29课 8 [已完结] C++零基础大漠模拟器手游自动化辅助教程 22课 9 [已完结] C++零基础开发DXF内存脚本辅助教程 32课
以下是天马阁VIP教程,本站与天马阁合作,赞助VIP可以获得天马阁对应VIP会员,名额有限! 点击进入天马阁论坛
1 [已完结] x64CE与x64dbg入门基础教程 7课 2 [已完结] x64汇编语言基础教程 16课 3 [已完结] x64辅助入门基础教程 9课
4 [已完结] C++x64内存辅助实战技术教程 149课 5 [已完结] C++x64内存检测与过检测技术教程 10课 6 [已完结] C+x64二叉树分析遍历与LUA自动登陆教程 19课
7 [已完结] C++BT功能原理与x64实战教程 29课 8 [已完结] C+FPS框透视与自瞄x64实现原理及防护思路
查看: 9796|回复: 0

绕过windows10 patchguard原理与实现

[复制链接]

14

主题

3

回帖

22

积分

编程入门

Rank: 1

龙马币
48

上贴说过CmpAppendDllSection是经过双加密的,我没能力双解密出来,所以说过一种办法是绕过CmpAppendDllSection函数体,对它后面的内容进行加解密,因为它后面的内容是只进行过一次加密的,而且我们对它怎么加密的已经清楚了,所以想解密出来就要想想办法。今天早上我还想不出怎么去解密出CmpAppendDllSection函数后面的内容,但是下午就想到了,有点儿小兴奋。
先贴出CmpAppendDllSection后面的解密代码:

  1. auto TempSize = FollowContextSize;    //context的尺寸
  2. auto FollowContextKey = ContextKey;
  3. //解密剩下的部分
  4. do {
  5.   pTempMem[(0xC0 / sizeof(ULONG_PTR)) + TempSize] ^= FollowContextKey;
  6.   auto RorBit = static_cast<UCHAR>(TempSize);
  7.   FollowContextKey = ROR(FollowContextKey, RorBit, 64);
  8. } while (--TempSize);
复制代码


上面的解密难点在于key是每8个字节变动一次,而且通过当前key无法推到出下一次key,所以之前我就想了很久没辙。下午换了个思路,既然无法通过当前key推算出下一个key的内容,那能不能推出下下下下下......次key的内容呢?答案是能!上面的代码可以看出key每经过0x100*8个字节后,就会变回原来的key,意思就是当前的动态key和+0x800字节后面计算的动态key是一样的!发现这点后的我就立马去实验了,结果完全可行。先来看看我虚拟机的CmpAppendDllSection代码:

  1. INIT:00000001407C4B00                                                 CmpAppendDllSection proc near           ; DATA XREF: sub_1407AAAC8+1C4Do
  2. INIT:00000001407C4B00                                                                 db      2Eh
  3. INIT:00000001407C4B00 2E 48 31 11                                                     xor     [rcx], rdx
  4. INIT:00000001407C4B04 48 31 51 08                                                     xor     [rcx+8], rdx
  5. INIT:00000001407C4B08 48 31 51 10                                                     xor     [rcx+10h], rdx
  6. INIT:00000001407C4B0C 48 31 51 18                                                     xor     [rcx+18h], rdx
  7. INIT:00000001407C4B10 48 31 51 20                                                     xor     [rcx+20h], rdx
  8. INIT:00000001407C4B14 48 31 51 28                                                     xor     [rcx+28h], rdx
  9. INIT:00000001407C4B18 48 31 51 30                                                     xor     [rcx+30h], rdx
  10. INIT:00000001407C4B1C 48 31 51 38                                                     xor     [rcx+38h], rdx
  11. INIT:00000001407C4B20 48 31 51 40                                                     xor     [rcx+40h], rdx
  12. INIT:00000001407C4B24 48 31 51 48                                                     xor     [rcx+48h], rdx
  13. INIT:00000001407C4B28 48 31 51 50                                                     xor     [rcx+50h], rdx
  14. INIT:00000001407C4B2C 48 31 51 58                                                     xor     [rcx+58h], rdx
  15. INIT:00000001407C4B30 48 31 51 60                                                     xor     [rcx+60h], rdx
  16. INIT:00000001407C4B34 48 31 51 68                                                     xor     [rcx+68h], rdx
  17. INIT:00000001407C4B38 48 31 51 70                                                     xor     [rcx+70h], rdx
  18. INIT:00000001407C4B3C 48 31 51 78                                                     xor     [rcx+78h], rdx
  19. INIT:00000001407C4B40 48 31 91 80 00 00 00                                            xor     [rcx+80h], rdx
  20. INIT:00000001407C4B47 48 31 91 88 00 00 00                                            xor     [rcx+88h], rdx
  21. INIT:00000001407C4B4E 48 31 91 90 00 00 00                                            xor     [rcx+90h], rdx
  22. INIT:00000001407C4B55 48 31 91 98 00 00 00                                            xor     [rcx+98h], rdx
  23. INIT:00000001407C4B5C 48 31 91 A0 00 00 00                                            xor     [rcx+0A0h], rdx
  24. INIT:00000001407C4B63 48 31 91 A8 00 00 00                                            xor     [rcx+0A8h], rdx
  25. INIT:00000001407C4B6A 48 31 91 B0 00 00 00                                            xor     [rcx+0B0h], rdx
  26. INIT:00000001407C4B71 48 31 91 B8 00 00 00                                            xor     [rcx+0B8h], rdx
  27. INIT:00000001407C4B78 48 31 91 C0 00 00 00                                            xor     [rcx+0C0h], rdx
  28. INIT:00000001407C4B7F 31 11                                                           xor     [rcx], edx
  29. INIT:00000001407C4B81 48 8B C2                                                        mov     rax, rdx
  30. INIT:00000001407C4B84 48 8B D1                                                        mov     rdx, rcx
  31. INIT:00000001407C4B87 8B 8A C4 00 00 00                                               mov     ecx, [rdx+0C4h]
  32. INIT:00000001407C4B8D
  33. INIT:00000001407C4B8D                                                 loc_1407C4B8D:                          ; CODE XREF: CmpAppendDllSection+98j
  34. INIT:00000001407C4B8D 48 31 84 CA C0 00 00 00                                         xor     [rdx+rcx*8+0C0h], rax
  35. INIT:00000001407C4B95 48 D3 C8                                                        ror     rax, cl
  36. INIT:00000001407C4B98 E2 F3                                                           loop    loc_1407C4B8D
  37. INIT:00000001407C4B9A 8B 82 50 05 00 00                                               mov     eax, [rdx+550h]
  38. INIT:00000001407C4BA0 48 03 C2                                                        add     rax, rdx
  39. INIT:00000001407C4BA3 48 83 EC 28                                                     sub     rsp, 28h
  40. INIT:00000001407C4BA7 FF D0                                                           call    rax                                              ;我选择这个rax为我查找的内容进行解密,然后再加密回去,这样pg调用rax的时候就会被我劫持到,进而绕过它~
  41. INIT:00000001407C4BA9 48 83 C4 28                                                     add     rsp, 28h
  42. INIT:00000001407C4BAD 4C 8B 80 00 01 00 00                                            mov     r8, [rax+100h]
  43. INIT:00000001407C4BB4 48 8D 88 00 05 00 00                                            lea     rcx, [rax+500h]
  44. INIT:00000001407C4BBB BA 01 00 00 00                                                  mov     edx, 1
  45. INIT:00000001407C4BC0 41 FF E0                                                        jmp     r8
  46. INIT:00000001407C4BC0                                                 CmpAppendDllSection endp
复制代码


我已经知道上面地址00000001407C4BA7那里调用的rax是在ida中的哪个函数了,于是结合上面的思路就有了下面的代码:

  1. ULONG_PTR NewExecPatchGuard(ULONG_PTR Unuse, ULONG_PTR Context)
  2. {
  3. KeBugCheckEx(0x119, Context, 0, 0, 0);
  4. }
  5. static void AttackPatchGuard(PUCHAR StartAddress, ULONG_PTR SizeOfBytes)
  6. {
  7. #define PageSize 0x1000
  8. if (SizeOfBytes < PageSize)
  9. {
  10.   return ;
  11. }
  12. for (auto i = 0;i < SizeOfBytes;i++)
  13. {
  14.   //下面攻击密文pg
  15.   if ((i + 0x800 + 0x10) < SizeOfBytes)
  16.   {
  17.    auto TempKey1 = *(ULONG_PTR*)(StartAddress + i) ^ 0x4808588948c48b48;
  18.    auto TempKey2 = *(ULONG_PTR*)(StartAddress + i + 0x8) ^ 0x5518788948107089;
  19.    if ((*(ULONG_PTR*)(StartAddress + i + 0x800) ^ 0x8948f60344028b48) == TempKey1 &&
  20.     (*(ULONG_PTR*)(StartAddress + i + 0x800 + 0x8) ^ 0xc1834808c2834801) == TempKey2)
  21.    {
  22.     LOG_DEBUG("ExecPatchGuard address:%p    TempKey1:%p    TempKey2:%p\n", StartAddress + i, TempKey1, TempKey2);
  23.     UCHAR Code[0x10] = {0};
  24.     memcpy(Code,"\x48\xB8\x21\x43\x65\x87\x78\x56\x34\x12\xFF\xE0\x90\x90\x90\x90",0x10);
  25.     *(ULONG_PTR*)(Code + 0x2) = (ULONG_PTR)NewExecPatchGuard;
  26.     *(ULONG_PTR*)(StartAddress + i) = *(ULONG_PTR*)Code ^ TempKey1;
  27.     *(ULONG_PTR*)(StartAddress + i + 0x8) = *(ULONG_PTR*)(Code + 0x8) ^ TempKey2;
  28.    }
  29.   }
  30. }
  31. }
复制代码


我故意在我接管的函数里面制造了一个蓝屏,果然蓝屏了(我实际应该弄个打印....)。
然后改了NewExecPatchGuard为下面的代码:

  1. ULONG_PTR NewExecPatchGuard(ULONG_PTR Unuse, ULONG_PTR Context)
  2. {
  3. *(ULONG_PTR*)(Context + 0x100) = (ULONG_PTR)NewExQueueWorkItem;
  4. return Context;
  5. }
复制代码


并且我的代码中设置了一个hook,静静的等了40多分钟没毛病,思路果然是没问题的,窃喜~

这是我用最少的代码干掉pg的,而且真的感觉炒鸡简单~ 不过有个问题是,这个每个版本硬编码可能不一样,要多采集点儿才行。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

龙马谷| C/C++辅助教程| 安卓逆向安全| 论坛导航| 免责申明|Archiver|
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表龙马谷立场!
任何人不得以任何方式翻录、盗版或出售本站视频,一经发现我们将追究其相关责任!
我们一直在努力成为最好的编程论坛!
Copyright© 2018-2021 All Right Reserved.
在线客服
快速回复 返回顶部 返回列表