逆向TesSafe.sys

最新推荐文章于 2024-03-28 10:58:10 发布
原创 最新推荐文章于 2024-03-28 10:58:10 发布 · 3.3k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#object #null #string #c #汇编 #hook

本文详细介绍了如何逆向分析 TesSafe.sys 驱动程序,包括其关键函数、数据结构和防调试技巧。通过IDA查看,发现驱动中存在一些花指令和异或操作,用于防止动态调试。驱动主要功能包括设备创建、符号链接建立、I/O控制处理以及进程创建通知。此外,还揭示了如何挂钩系统函数并进行权限检查。
//------------------------------[IDA] => TesSafe.sys --------------------------------------//
// File MD5: E780032179272AFD93BCF4A9A67C7706
// Version: 0.0.6.5
//-----------------------------------------------------------------------------------------//
// 定义

extern "C"
{
   #include <ntddk.h>
}

DWORD dword_14288 = 0xBB40E64E;    // 这个变量有初值
DWORD dword_142C4 = 0;
DWORD dword_14050 = 5;
DWORD dword_1431C = 0; // 这个四字节变量保存一个指向PsGetProcessImageFileName的指针
DWORD dword_14338 = 0;
PKEVENT unk_143C0 = NULL;
KSPIN_LOCK SpinLock = 0; // 实际上是DWORD
PVOID unk_14328 = NULL;
PVOID unk_142B4 = NULL;
PVOID unk_143E0 = NULL;
PVOID BaseAddress = NULL;

// 其实内核函数默认调用方法就是stdcall,下面的_stdcall都是不用加的。
// 不过为了说明,还是都加上了。

VOID _stdcall proc_1121F();    // 防止动态调试
VOID _stdcall sub_11000(PVOID, DWORD, DWORD);
VOID _stdcall sub_118D0();
VOID _stdcall sub_1230C();    // 实现挂钩

// 下面的函数就是int __stdcall sub_112DA(HANDLE ProcessHandle, int, int, int, int)
NTSTATUS _stdcall Hook_ObOpenObjectByPointer(PVOID Object,ULONG HandleAttributes, PACCESS_STATE PassedAccessState, ACCESS_MASK DesiredAccess,    
  POBJECT_TYPE ObjectType, KPROCESSOR_MODE AccessMode, PHANDLE Handle);
VOID __stdcall NotifyRoutine(HANDLE ParentId, HANDLE ProcessId, BOOLEAN Create);

NTSTATUS _stdcall sub_11E48(DWORD, PVOID, PVOID);
NTSTATUS _stdcall DispatchIoctl(PDEVICE_OBJECT pDevObj, PIRP pIrp);
VOID _stdcall DriverUnload(PDRIVER_OBJECT pDrvObj);

// 实现

extern "C" NTSTATUS _stdcall DriverEntry(PDRIVER_OBJECT pDrvObj, PUNICODE_STRING puRegistryString)
{
   // 实际上这个为入口点,不过为了方便就写在了一起
   if(dword_14288 != 0 && dword_14288 == 0xBB40E64E) // 十进制3141592654,晕倒。如果下面的异或操作已经执行过奇数次,那么这两个值不等
   {
       // 不过实际上由于 dword_14288 != 0的判断,不可以执行奇数次
       dword_14288 = *(DWORD*)KeTickCount ^ dword_14288; // 与那个大PI异或
   }
   // 这里有一个长跳转,可能做过手脚
// jmp to text.12996,开始进入正事
   // 定义变量
   // sub esp,14H
   // 由后面的反汇编我们可以知道定义了些什么

   UNICODE_STRING SymbolicLinkName;
   UNICODE_STRING DestinationString;
   PDEVICE_OBJECT DeviceObject = NULL;
   // 这个是我自己定义的,实际上在堆栈中没有分配
   NTSTATUS st = STATUS_SUCCESS;
   NTSTATUS stPre = STATUS_SUCCESS;
   // 初始化
   DestinationString.Length = 0;
   DestinationString.MaximunLength = 0;
   SymbolicLinkName.Length = 0;
   SymbolicLinkName.MaximnumLength = 0;

   _asm call loc_129C5;    // 这个花指令思路比较新
   _asm emit 0fH;
   _asm emit 88H;
   _asm jmp loc_129D3; // IDA认错指令了,它认为是:db eb; pop cs
loc_129C5:
   _asm pop ecx;    // 第一次执行,ecx == loc_129C5 - 3,就是那个0fH 第二次执行为cs
   _asm jmp loc_129CA;        // 这个作者用了这么多嵌入汇编?要知道jmp和call是不能过IDA的

   // 花指令
   _asm emit 50H;
   _asm emit 33H;
loc_129CA:
   _asm add ecx,2; // 第一次执行 ecx == loc_129C5 - 1,就是loc_129C5上面那条指令,IDA将它认出来了。
    &nbs
最低0.47元/天 解锁文章
逆向病毒nvmini.sys--编译通过-
03-24 2192
/******************************************************************************************** Module : nvmini.c** Author : sudami [sudami@163.com]* Time : 08/02/28** Comment:* 去年月份强悍的“马吉斯(Worm.Magistr
逆向还原exeshell一个可以给sys加花的小东西
05-08 1743
很早的时候,在研究怎么给驱动加壳的时候,忘了从哪有了这个exeshell小工具(这个小工具好像是V大写的,我也不是很确定,希望V大不要生气呵呵)可以给sys加密,从而在一定程度上拖延了sys被人用F5虐待的时间 ,于是当时就花了几天把他给逆了,其实简单的说就是把sys文件的.text段与与0x44异或,进行简单加密。具体可以看idb的sub_4014A0函数。 关键代码: BOOL CEncrpt
逆向:Ucoresys.sys (一)
a294447011294447011的专栏
04-13 838
<br /> <br />刚开始练习逆向才粗学浅,大牛见之,请提点提点... ...<br /> <br />::000119A6::  55                       PUSH    EBP                             <br />::000119A7::  8BEC                     MOV     EBP, ESP                        <br />::000119A9::  8B45 08          
NMFilter.sys(4.3.2.2485)逆向源代码
03-21 2042
////////////////////////////////////////////////////// NMFilter.sys(4.3.2.2485)逆向源代码。// Reverse by 张敏,sczhangmin@163.com。// 在vc2003+ddk下编译通过,未调试验证,仅供参考!// 转载请注明作者。/////////////////////////////////////
逆向未知dhook.sys驱动源代码
01-25 2430
IRP_MJ_CREATE和IRP_MJ_CLOSE,DriverUnload例程很简单可以看写出的C代码或者是dhook.sys的驱动.关键IRP_MJ_DEVICE_CONTROL例程有点复杂和用户层通信.如下:.text:000103DB ; int __stdcall sub_103DB(PDRIVER_OBJECT DeviceObject,PIRP Irp).text:000103DB
解决TesSafe.sys系统文件钩子问题的源代码分析
根据给定的文件信息,我们可以明确几个IT知识点,首先是有关系统安全中的驱动程序TesSafe.sys,其次是驱动程序中函数hook(钩子)技术的使用,还有与编程语言相关的知识点,即VC(Visual C++的简称,是微软公司的一...
如何在TesSafe.sys过驱动保护的游戏进程中实现内存读写和设置硬件断点?
11-10
TesSafe.sys提供的过驱动保护机制下,实现内存读写和设置硬件断点涉及到一系列高级技术,本文将详细探讨这些技术的实现方法。首先,要读写游戏进程的内存,你需要对目标进程进行Hooking操作,具体来说是Hook...
TesSafe.sys过驱动保护技术:读写内存与硬件断点
本文档主要讨论了如何使用 TesSafe.sys 进行过驱动保护,以及在过保护后如何实现读写内存和附加硬件断点,适用于计算机科学(CS)领域的学习者,特别是对游戏外挂制作技术感兴趣的人员。 在计算机安全和逆向工程的...
TesSafe.sys保护的游戏进程中,如何绕过系统调用限制进行内存读写和设置硬件断点?
最新发布
11-10
要在TesSafe.sys过驱动保护的游戏进程中实现内存读写和设置硬件断点,首先需要对游戏进程进行精确的定位和操作。操作步骤如下: 参考资源链接:[ TesSafe.sys过驱动保护技术:读写内存与硬件断点]...
360安全卫士hookport.sys简单逆向——基础
09-09 1006
360安全卫士hookport.sys简单逆向——基础 2009年10月23日 星期五 17:09 hookport.sys模块作用 Hookport.sys是360安全卫士对系统进行挂钩操作的核心模块。其中主要方式对SSDT和shadowSSDT安装钩子函数。但其使用了一种较为特殊的实现方法,使众多常规ARK软件很难检测出360安全卫士所的钩子。由于此方法对系统表操作很少,比较稳定。 H...
【旧文章搬运】360安全卫士HookPort.sys完美逆向
weixin_30535843的博客
12-26 308
原文发表于百度空间,2009-11-08 这是第一次逆向一个企业级安全产品的核心代码,并完美替换原驱动正常工作========================================================================== RT.逆向用了两天(后面还花了一些断断续续的时间查看细节)还原成源码并编译通过用了两天编译通过的驱动调试排错则断断续续用了一周的时间。。...
浅谈逆向——32位逆向分析技术(1.函数)
qq_38684512的博客
01-30 936
浅谈逆向-32位逆向分析技术启动函数函数 启动函数 编写Win32应用程序时,必须在源码中实现一个WinMain函数,但windows执行并不是从WinMain开始的,首先被执行的是启动函数的相关代码,这段代码是由编译器生成的,在启动代码初始化进程完成后,才会调用WinMain函数。 对VC++程序来说,调用了C/C++运行时的启动函数,对运行库进行初始化,C/C++程序运行,启动函数作用基本相同...
恶意软件分析实战17-内核级软件逆向Lab10-1
輚至消亡
09-30 587
这是我第一次调试带有内核级代码的软件。之前调试过内核级代码但是都是自己编写的源码级调试。这是我第一次无源码逆向带有驱动的软件。 这个软件非常简单,我主要是为了学习如何调试内核级代码, 其包含了2个文件,一个是exe可执行文件还有一个是sys驱动文件。 查看下驱动文件的PE头 查看下其各节的节表, 发现其有资源节。 查看下对应的资源信息, 主要是版本信息: 查看它的导入信息,发现是从ntoskrnl.exe内部导入的三个内核函数。主要是注册表信息操作 首先把exe拖入...
TesSafe反WinDbg双机调试
cqyczj的专栏
06-09 1305
貌似论坛里面有关游戏的贴子都很火,所以发篇帖子涨点人气。 正文: 在论坛搜索了下发现去年的时候有人发过一篇过TesSafe反双机调试的帖子,但是现在已经过时了,并且帖子里面也没提到怎么处理被IAT HOOK的两个函数。在这里呢,我就给大家彻底的讲明白吧。 先开ARK工具看看游戏干了什么。 从图片可以看到游戏启动的时候对ntkrnlmp.exe中的kdcom.KdSe
逆向一个基于驱动的恶意程序
04-16 2541
本程序发现于机器狗变种病毒释放恶意程序的下载列表中:穿透还原系统后的机器狗病毒在机器启动后会从指定网址下载多个恶意程序,本程序即其中之一,其功能为通过底层键盘过滤方式盗取用户键盘输入信息。因程序使用了底层键盘过滤技术,故而可记录大部分软件的键盘输入,包括网游、QQ、邮箱的帐户输入信息等。 一、原理:     此程序随系统进程internat.exe启动而被执行,程序通过加载自身资源里的两个驱动来隐
IDA使用之旅(一)用IDA查看最简单的sys文件
chenyujing1234的专栏
07-20 1万+
转载请标明是引用于 http://blog.csdn.net/chenyujing1234  欢迎大家拍砖!   本系列内容是我根据“知其所以然论坛”博主录制的学习视频,做的笔记。 使用的IDA软件版本: IDA.pro.5.5 (参考下载地址: http://www.pc6.com/softview/SoftView_55231.html) 下载后得到IDA.pro.5.5dapr
英雄联盟提示tersafe.dll已损坏怎么办?英雄联盟提示tersafe.dll已损坏快速修复方法介绍
onecdll的博客
03-28 1460
英雄联盟tersafe.dll是一个帮助lol完结解决游戏时提示tersafe.dll损坏的dll文件,但是有玩家在玩这个游戏的时候提示:tersafe.dll已损坏,该怎么解决呢?下面一起来看看吧!
dnf防封 不知行不行 网上见的
TMDBug
04-03 2216
没有下载防封处理文件怎么办? 网络中断后怕封号的。首先找到DNF主目录 之后 步骤1:  找DNF.exe(大小22MB) 右键属性
LOL过检测技術
热门推荐
weixin_40267435的博客
02-13 2万+
1.稳定注入姿势 2.处理TenRpcs检测CLL 3.处理TCJ 4.探测GameRpcs 笔者最近迷上LOL,中低分段总是有脚本,被虐的很惨 然后笔者去市场上买来几款外挂,配合防封,然后小逆了一下,发现市场上的防封软件大多是通对游戏 LoadLibraryExW 挂钩子,让某些检测模块不加载,在这种情况下,阻断了通讯,这样可以稳定的玩游戏5局左右,之后就会封7天或者三年,如果处理了TenRpc...
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值