游戏安全之借坡下驴

简述

之前有介绍《借刀杀人》，指的是利用高权限的系统进程。这次《借坡下驴》，是利用了某游戏本身的驱动保护程序。

此文主要是记录分析某款游戏驱动保护的r3-r0通讯算法。因为文章整理于作者2020年10月份左右的笔记，有点流水账，分析和利用的样本大概是2020年8月-9月份左右的。

样本文件详情如下：

文件名：xxxxxxxx.sys

大小: 1269880 bytes

修改时间: 2020年9月29日, 12:27:38

二

结构分析

最开始，作者只是简单的关注了此驱动读写任意进程的功能。所以这里自底向上分析，通过基本的内核API分析其参数，然后查看其调用方如何把IoBuffer解析传入。

分析完后，其进程读写函数大概如下：

// 使用以下内核函数跨进程读写 NTSTATUSMmCopyVirtualMemory(    IN PEPROCESS FromProcess,    IN CONST VOID *FromAddress,    IN PEPROCESS ToProcess,    OUT PVOID ToAddress,    IN SIZE_T BufferSize,    IN KPROCESSOR_MODE PreviousMode,    OUT PSIZE_T NumberOfBytesCopied    )

第一层调用：

第二层调用：

第三层调用：

dispatch call : 定位到读写IO码

最后的进程读写结构：

// read write process memorytypedef struct _rwpm_data{    uint32_t is_write;    uint32_t padding;    uint64_t pid;    uint64_t dst;    uint64_t src;    uint64_t size;}rwpm_data, * p_rwpm_data;

三

通讯分析

当时我有了读写结构之后，去做了demo调用，发现其通讯的数据是有加解密的，并且很多函数是有VMP过的。所以这里用动静结合的方式来还原算法。

1. 双机调试，下断其入口处，patch掉其反调试。