[原创]某号称国外最强反作弊如何偷鸡监控和拦截鼠标输入 | 您所在的位置:网站首页 › fairygui8c5铁7d668 › [原创]某号称国外最强反作弊如何偷鸡监控和拦截鼠标输入 |
mouclass.sys!MouseClassServiceCallback(原版) 由于mouclass.sys尚未被PatchGuard保护,所以某国外大厂的FACEIT.sys直接暴力挂上了inlinehook: 可以看到该“大厂”只使用了[rsp+offset_retaddr]作为返回地址 而且仅仅只是上报retaddr,PID,TID等信息,并没有做拦截 完整伪代码: __int64 __fastcall HookMouClassServiceCallback_faceit(__int64 a1, __int64 a2, __int64 a3, __int64 a4) { __int64 v4; // r12 __int64 v5; // rbp __int64 v6; // r14 __int64 v7; // r15 __int64 *v8; // r10 __int64 (__fastcall *original_trampoline)(__int64, __int64, __int64, __int64); // r13 __int64 v10; // rax __int64 v11; // rdi __m128 *v12; // rax __int64 v13; // rbx int v14; // eax __int64 v15; // rcx void *retaddr; // [rsp+48h] [rbp+0h] v4 = a1; v5 = a4; v6 = a3; v7 = a2; v8 = expected_retaddr; original_trampoline = *(__int64 (__fastcall **)(__int64, __int64, __int64, __int64))(qword_7F768 + 8); v10 = 0i64; while ( (void *)*v8 != retaddr ) { if ( !*v8 ) { expected_retaddr[v10] = (__int64)retaddr; v11 = ((__int64 (__fastcall *)(__int64))(qword_7D7C8 ^ qword_7D7D0))(qword_7F1A0); if ( v11 ) { v12 = (__m128 *)((__int64 (__fastcall *)(_QWORD, __int64))(qword_7D478 ^ qword_7D480))(0i64, 288i64);// ExAllocatePool v13 = (__int64)v12; if ( v12 ) { memset(v12 + 1, 0, 0x110ui64); *(_QWORD *)v13 = v11; *(_QWORD *)(v13 + 8) = retaddr; if ( ((__int64 (*)(void))(qword_7CE78 ^ qword_7CE80))() && ((int (__fastcall *)(unsigned __int64, _QWORD, _QWORD, _QWORD))(qword_7CFB8 ^ qword_7CFC0))( __readgsqword(0x188u), 0i64, *(_QWORD *)(qword_7DA28 ^ qword_7DA30), 0i64) >= 0 ) { *(_QWORD *)(v13 + 280) = __readgsqword(0x188u); } v14 = ((__int64 (__fastcall *)(__int64, __int64))(qword_7CF58 ^ qword_7CF60))(v13 + 16, 32i64); v15 = *(_QWORD *)v13; *(_DWORD *)(v13 + 272) = v14; ((void (__fastcall *)(__int64, void *, __int64, __int64))(qword_7D6E0 ^ qword_7D6D8))( v15, &unk_53720, 1i64, v13); } else { sub_255C4(); ((void (__fastcall *)(__int64))(qword_7D670 ^ qword_7D668))(v11); } } else { sub_255C4(); } return original_trampoline(v4, v7, v6, v5); } v10 = (unsigned int)(v10 + 1); ++v8; if ( (unsigned int)v10 >= 50 ) return original_trampoline(v4, v7, v6, v5); } return original_trampoline(v4, v7, v6, v5); }而另一个大厂的vgk.sys虽然也挂了inlinehook: 但它品味素质修养明显就比FACEIT.sys高很多 可以看到它也有监控返回地址: 估计是考虑到这个函数有被别人先勾了的可能性,所以vgk获取返回地址用了三种方式: 一种是[rsp+offset_retaddr] 一种是readmsr(MSR_IA32_LASTBRANCHFROMIP) 一种是readmsr(readmsr(MSR_LBR_TOS)+MSR_LBR_NHM_FROM) 需要注意的是,vgk的钩子在trampoline跳转到new routine之前先清除了MSR_IA32_DEBUGCTL的bit0 在call original之前恢复了MSR_IA32_DEBUGCTL的bit0 此举可能是为了防止MSR_IA32_LASTBRANCHFROMIP和MSR_LBR_TOS中的分支ip信息被vgk自己的ip覆盖 以下是完整伪代码: 太长就不发了不是我说,你们美国人的vgk.sys确实比欧洲人的FACEIT.sys有点素质,真的,不是说夸你们美国人呢 冰蝎,蚁剑Java内存马查杀防御技术 最后于 2021-6-8 19:46 被hzqst编辑 ,原因: #调试逆向 |
CopyRight 2018-2019 实验室设备网 版权所有 |