Windows内核(游戏逆向)

Windows内核上目录:

https://www.processon.com/view/link/62218fc563768907728d5d02#map

Windows内核下目录:

https://www.processon.com/view/link/626ff351e0b34d074547d58d#map

购买地址:购买本套课程


Windows内核:

本课程并不涉及到游戏数据的分析

仅仅是通过学习Windows(32/64)位内核运行原理相关的知识来绕过或是突破游戏的保护

对于本套课程作测试用到的程序或者游戏,仅仅是为了演示效果

如构成侵权,及时联系我删除对应视频

邮箱service@yxfzedu.com

QQ:851920120


- Windows内核总的目录学习路线

- 前提知识:C/C++,汇编,PE结构

- 工具:X64/86dbg,CE,IDA,Windbg,DebugView等

- 环境:VMware,Win7 32 ,Win10 64(1809) 双机调试及符号下载


- 参考资料:IA-32架构软件开发人员手册_卷3(Intel Architecture 32bit简称,即英特尔32位体系架构)



内核上和下总共22个章节



Windows内核(上)共有九章


第一章:保护模式

主要学习CPU运行原理,Windows操作系统是如何根据CPU的规则来写操作系统,

内容包括利用段的机制三环进入零环各个知识点的讲解,如何利用CPU提供的各种门进行提权,

包括调用门,中断门,陷阱门,任务门,及任务段。

利用页的机制如何更细粒度的保护内存

包括10 10 12分页,2 9 9 12分页

及各个知识点的实验


第二章:驱动开发

主要学习驱动的开发,常用的一些函数

驱动蓝屏分析

驱动签名


第三章:系统调用

熟悉Windows三环API到Windows内核的执行流程,清晰的了解调用细节

是在游戏对抗中不可缺少的技术点

自写三环API(让调试器(OD,CE)断点无效)

SSDT HOOK(让调试器(OD,CE)无法打开进程)


第四章:进程线程

对Windows内核进程和线程讲解,

通过分析关键函数SwapContext从本质了解线程进程,了解其运行原理,

包括线程切换,强杀进程,进程挂靠等技术原理的讲解及代码的实现


第五章:句柄表

主要学习全局句柄和私有句柄,

全局句柄保护进程,私有句柄提权,

私有句柄降权,Object回调,

分析游戏图标不显示原因

解决DNF,CF,PUBG游戏图标显示问题等


第六章:APC

- APC:异步过程调用(Asyncroneus Procedure Call)

- 一句话解释APC:就是A线程提供一个函数,让B线程去执行,就是APC。

- 完整一点解释APC:A线程提供一个函数,插入到B线程,B线程在某个时刻,满足某些条件下就会执行APC。

- 怎么控制一个线程?  插入APC

- 谁插入的apc  -- 别的线程插入的

- 插入到哪里  -- Ethread  有两个队列,一个是三环的  一个零环的

- 队列的特点   后进先出

- 想让apc做三环的事情就先到三环队列里,想让apc做零环的事情,就写到零环队列里。

- 目标:线程

- APC能做出的功能:

  - 内存读写  (测试程序:DNF)

  - 远程CALL (测试程序:DNF)

  - 注入 (测试程序:DNF)


第七章:系统回调

主要是讲解Windows系统为我们提供的回调机制

来监控进程,线程,加载模块,注册表操作

并且通过回调函数来操作它

例如禁止打开指定进程

禁止加载指定模块

锁定注册表等操作


第八章:读写项目

- 读写内存的几种方式

包括:附加进程读写:通过进程挂靠读写内存 

MDL映射读写:通过目标虚拟地址计算出物理地址,然后根据物理地址映射出一个新的虚拟地址,

然后对这个新的虚拟地址就行读写操作

内核APC读写:用内核APC对内存进行读写

- 读到内存之后怎么复制

- ReadProcessMemory  -- MmCopyVirtualMemory

- 驱动层的部分    DLL



第九章:封装驱动到三环

- 1.把驱动文件写到三环项目中

- 2.加载驱动卸载驱动

- 3.驱动通信加上

- 4.封装读写功能 (导出函数)

- 5.易语言模块






Windows内核(下)共有十三章


第十章:内存管理

- Windows内存管理主要学习什么

  - 线性地址是如何管理的

  - 物理地址是如何管理的

  - 缺页异常解决了什么问题

  - 堆,栈这些内存是怎么申请的


- Windows内核情景分析  第三章


- 不管什么程序,除了程序代码本身所占用的空间外,程序在运行过程中总得使用一定的内存空间,因为数据也要占用空间。这些存储数据的内存空间大致可分为三类:

  - 全局变量:编译工具链接的时候就静态的分配好了

  - 局部变量:调用子函数的时候,在栈上分配

  - 通过malloc分配,可以通过free释放,重复利用


- 每个进程都有4GB的空间,但是这4GB空间并不是都在使用,有没有一个地方在记录着哪些地址空间已经使用了,哪些没有使用?


  - 肯定有一个地方在记录


- 怎么记录线性地址是否是可以用的?


- 每个进程都有自己的线性地址管理



第十一章:X64汇编

X64新增的寄存器

VS集成64位汇编环境

64位汇编传参问题

汇编里面调用外部函数

全局变量定位


第十二章:X64调用流程

前提知识:

保护模式,系统调用


参考资料:

x86x64体系探索及编程  作者:邓志


64位段描述符

64位调用门


第十三章:X64页表拆分

64位下线性地址的分页模式

设置PTE,PDE的no_execute属性,达到躲避游戏检测等问题

主要内容包括:

PML4T(Page Map Level-4 Table):4KB 包含512个PML4E

PDPT(Page Directory Pointer Table):4KB大小,包含512个PDPE

PDT(Page Directory Table):4KB大小,包含512个PDE

PT(Page Table):4KB大小,包含512个PTE结构


大页:1G    &&  PDPTE.ps== 1

中页:2M    PDE.ps == 1 &&  PDPTE.ps==0

小页:4K    PDE.ps == 0 &&  PDPTE.ps==0


参考资料:x86x64体系探索及编程


第十四章:X64物理地址映射

主要实现

Win7 X64物理地址映射

Win10 X64物理地址映射


第十五章:远程CALL(用户APC)

了解什么是远程CALL

远程CALL能做什么

实现远程CALL的几种实现方式

APC的方式实现远程CALL的具体实现

DNF喇叭功能测试


第十六章:远程CALL(劫持线程)

以劫持线程的方式实现 远程CALL

包括劫持原理,代码实现

获取主线程

挂起线程函数定位

恢复线程函数定位

获取当前线程RIP

构建shell code

劫持RIP及修复返回地址

测试DNF喇叭公告


第十七章:注入技术(用户APC)

注入技术:

包括三种方式:

创建线程注入

APC注入

劫持线程注入


以APC的方式实现无模块注入DLL

整体的一个流程:

1.整合APC代码

2.DLL转换成二进制

3.整合申请内存代码

4.整合内存执行DLL代码   malloc 

5.替换申请内存地址

6.测试往DNF注入DLL


第十八章:注入技术(劫持线程)

以劫持线程的方式实现无模块注入


无痕注入:

1.没有线程  

2.申请的内存是没有痕迹   (你让游戏保护查不到你的内存)

3.没有模块信息


1.整合劫持线程代码

2.构建shell code

3.劫持RIP

4.抹去PE标记

5.测试往DNF,PUBG注入DLL

6.分析并解决无法注入到PUBG问题



第十九章:注入技术(创建线程)

1.创建线程 隐蔽性不好  线程内核对象 -

白名单模块:

系统的dll

游戏本身的dll



2.APC 插入一个用户apc - 找个线程 -等待某个时机+某些条件满足 

3.劫持线程  获取主线程-初始化栈-Trapframe-rip  


APC与劫持线程 共同点:

隐蔽性好


1.拆分下大概流程

2.查找内核中创建用户线程函数

3.测试线程函数

4.整合无模块注入相关代码

5.处理线程-伪装线程

6.处理线程-创建线程回调禁用掉

7.处理线程-线程隐藏

8.解决无法注入到DNF问题



第二十章:云下发

原理:

加载驱动的时候从服务器下载驱动,实现动态加载驱动,每次特征码都不一样


阿里云 腾讯云 华为云 京东云 百度云

价格:

配置:内存:16G  CPU 4  宽带 10M 5M


1.VS 驱动开发环境

2.驱动签名工具




1.云下发所需环境,服务器选择等


2.VS自动编译项目代码实现


3.服务端安装Nginx


4.编写自动VMP脚本


5.客户端代码实现从服务器下载驱动



第二十一章:异常

学习异常的主要目的就是为了软件调试

在调试软件的时候,目标程序为什么断点可以断下来

它的本质就是触发了异常,在异常处理函数中有个死循环,在等待用户的指令

我们这一章的异常,主要就是讲解这个异常的记录,异常的分发,异常的处理整个流程



第二十二章:软件调试

了解软件调试的整个流程,调试器与被调试程序是怎么进行联系的,建立联系之后又是怎么进行对调试

事件采集以及怎么对调试事件进行处理的,Int 3断点,内存断点,以及硬件断点的原理,以及自写调试功能

实现一个调试器调试程序的一个流程。这章学完也是为了以后自建调试体系作铺垫。





评论