某号称国外最强反作弊如何偷鸡监控和拦截鼠标输入

mouclass.sys!MouseClassServiceCallback（原版）

由于mouclass.sys尚未被PatchGuard保护，所以某国外大厂的FACEIT.sys直接暴力挂上了inlinehook：

可以看到该“大厂”只使用了[rsp+offset_retaddr]作为返回地址

而且仅仅只是上报retaddr，PID，TID等信息，并没有做拦截

完整伪代码：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75

__int64 __fastcall HookMouClassServiceCallback_faceit(__int64 a1, __int64 a2, __int64 a3, __int64 a4) {   __int64 v4; // r12   __int64 v5; // rbp   __int64 v6; // r14   __int64 v7; // r15   __int64 *v8; // r10   __int64 (__fastcall *original_trampoline)(__int64, __int64, __int64, __int64); // r13   __int64 v10; // rax   __int64 v11; // rdi   __m128 *v12; // rax   __int64 v13; // rbx   int v14; // eax   __int64 v15; // rcx   void *retaddr; // [rsp+48h] [rbp+0h]   v4 = a1;   v5 = a4;   v6 = a3;   v7 = a2;   v8 = expected_retaddr;   original_trampoline = *(__int64 (__fastcall **)(__int64, __int64, __int64, __int64))(qword_7F768 + 8);   v10 = 0i64;   while ( (void *)*v8 != retaddr )   {     if ( !*v8 )     {       expected_retaddr[v10] = (__int64)retaddr;       v11 = ((__int64 (__fastcall *)(__int64))(qword_7D7C8 ^ qword_7D7D0))(qword_7F1A0);       if ( v11 )       {         v12 = (__m128 *)((__int64 (__fastcall *)(_QWORD, __int64))(qword_7D478 ^ qword_7D480))(0i64, 288i64);// ExAllocatePool         v13 = (__int64)v12;         if ( v12 )         {           memset(v12 + 1, 0, 0x110ui64);           *(_QWORD *)v13 = v11;           *(_QWORD *)(v13 + 8) = retaddr;           if ( ((__int64 (*)(void))(qword_7CE78 ^ qword_7CE80))()             && ((int (__fastcall *)(unsigned __int64, _QWORD, _QWORD, _QWORD))(qword_7CFB8 ^ qword_7CFC0))(                  __readgsqword(0x188u),                  0i64,                  *(_QWORD *)(qword_7DA28 ^ qword_7DA30),                  0i64) >= 0 )           {             *(_QWORD *)(v13 + 280) = __readgsqword(0x188u);           }           v14 = ((__int64 (__fastcall *)(__int64, __int64))(qword_7CF58 ^ qword_7CF60))(v13 + 16, 32i64);           v15 = *(_QWORD *)v13;           *(_DWORD *)(v13 + 272) = v14;           ((void (__fastcall *)(__int64, void *, __int64, __int64))(qword_7D6E0 ^ qword_7D6D8))(             v15,             &unk_53720,             1i64,             v13);         }         else         {           sub_255C4();           ((void (__fastcall *)(__int64))(qword_7D670 ^ qword_7D668))(v11);         }       }       else       {         sub_255C4();       }       return original_trampoline(v4, v7, v6, v5);     }     v10 = (unsigned int)(v10 + 1);     ++v8;     if ( (unsigned int)v10 >= 50 )       return original_trampoline(v4, v7, v6, v5);   }   return original_trampoline(v4, v7, v6, v5); }

而另一个大厂的vgk.sys虽然也挂了inlinehook：

但它品味素质修养明显就比FACEIT.sys高很多

可以看到它也有监控返回地址：

估计是考虑到这个函数有被别人先勾了的可能性，所以vgk获取返回地址用了三种方式：

一种是[rsp+offset_retaddr]

一种是readmsr(MSR_IA32_LASTBRANCHFROMIP)

一种是readmsr(readmsr(MSR_LBR_TOS)+MSR_LBR_NHM_FROM)

需要注意的是，vgk的钩子在trampoline跳转到new routine之前先清除了MSR_IA32_DEBUGCTL的bit0

在call original之前恢复了MSR_IA32_DEBUGCTL的bit0

此举可能是为了防止MSR_IA32_LASTBRANCHFROMIP和MSR_LBR_TOS中的分支ip信息被vgk自己的ip覆盖