引言
驱动采用2025年4月初版本文件
内核与用户态通信机制
- 通信端口创建: 驱动通过 FltCreateCommunicationPort 函数创建了一个名为 \\OWNeacSafePort 的内核通信端口。
- 通信目的: 该端口旨在建立内核驱动与用户态 NAC (NetEase Anti-Cheat) 服务之间的安全双向通信通道。
- 用户态进程调用 FilterConnectCommunicationPort 尝试连接 \\OWNeacSafePort。
- 当用户模式尝试连接到驱动创建的通信接口会检查:长度 / key='FUCK' / 版本号等信息
ObRegisterCallbacks之进程
进程的PRE/POST回调:
- 存在一个白名单列表如果进程不在白名单列表则抹去 PROCESS_VM_READ (0x10) 权限
- 如果不在白名单则: 回调触发时间戳 / 调用者线程/进程ID / 目标进程ID / 最初以及最终请求访问权限 / 进程大多数信息 / 堆栈回溯
ObRegisterCallbacks之线程
线程PRE/POST回调:
- 当一个非游戏进程尝试对属于游戏进程的线程进行操作时。
清除 THREAD_SET_INFORMATION 和 THREAD_SET_CONTEXT 权限 - 记录详细信息,包括:
事件类型/时间戳
调用者进程/线程 ID
目标线程 ID 及其所属进程 ID
请求和授予的访问权限
调用堆栈
Image Notify
- 堆栈回溯的CALL 必须 大于等于 2 才会被记录
- 忽略来自 System Idle (0) 和 System (4) 进程的加载
- 火绒注入 : ZwProtectVirtualMemory LdrLoadDll ZwTestAlert 那一部分 主要操作在ntdll.dll中
- 这里如果资源不足 即错误 = 0xC000009A 就不会进行回调注册了
NotifyRoutine 之 Process
- 这里主要用于收集进程信息放到进程列表,供OB回调使用
Thread notify EX版本
- CROSSFIRE.EXE (穿越火线)
DNF.EXE (地下城与勇士)
GAMELOADER.EXE (Wegame的)
如果存在这三个进程创建线程 则阻止对该线程的创建 并且设置为 拒绝访问 STATUS_ACCESS_DENIED 我猜不会有人SSVGG和这几个游戏一起同时玩吧,SSVGG应该也是这么想的
Thread notify 版本
- 利用ZwOpenThread尝试打开线程
- 查询线程起始地址 查询线程是否有'ThreadBreakOnTermination'
- 堆栈回溯 这里全部记录 不管是不是大于等于2个
HOOK 之 NtAllocateVirtualMemory
检查 AllocationType 是否包含 MEM_RESERVE (0x2000) 和 MEM_COMMIT (0x1000) 这两个标志。如果不包含这两个标志 (例如,只是查询或释放内存,虽然 NtAllocateVirtualMemory 主要用于分配),或者后续条件失败,则直接调用原始函数。
检查目标进程 PID 是否在白名单中。如果在,直接调用原始函数。
用户模式:
- 是否是跨进程
- 是否有权限 : PAGE_EXECUTE | PAGE_EXECUTE_READ | PAGE_EXECUTE_READWRITE | PAGE_EXECUTE_WRITECOPY
- 检查句柄是否特殊 (-1 等)
内核模式:
如果保护属性包含如下权限,直接拦截
PAGE_EXECUTE | PAGE_EXECUTE_READ | PAGE_EXECUTE_READWRITE | PAGE_EXECUTE_WRITECOPY检查NtAllocateVirtualMemory调用返回的地址:
检查点1 : 确保返回地址在内核空间 => 调用 NtAllocateVirtualMemory 的代码本身是运行在内核模式下的。如果调用来自用户模式,其返回地址会在用户空间,这个条件就不会满足。
检查点2 : 调用者的返回地址不属于驱动程序预先定义好的那些“安全”或“已知”的内核模块/代码区域。换句话说,如果这个函数返回 0,意味着调用者来自一个未知的或者驱动程序不信任的内核位置。
最后 : 调用日志函数,传递详细信息 会堆栈回溯看调用NtAllocateVirtualMemory 来源
HOOK 之 MmAccessFault
- AccessMode 是内核模式
- (FaultStatus & 0x10) != 0: 检查页面错误是否由指令获取 (Instruction Fetch) 引起。
- 检查故障地址处的 4 字节内容是否为一个特定的值 (0x1131482E)。*FaultingAddress = 0xC3 如果是,则将该位置的字节修改为 0xC3,这是 RET (返回) 指令的机器码。
- 检查当前的 PML4 帧号是否与一个目标 CR3 的帧号匹配。这通常用于判断当前发生页面错误的进程是否是目标监控/修改的进程。
- 检查当前的 PML4 帧号是否不等于 xxCR3 的帧号。
__writecr3(xxCR3) 如果不等于,则将当前的 CR3 切换为xx的 CR3。
NtUserfnEMPTY 下 mpFnidPfn 记录
- 这个在 Win32kfull.sys下 具体存放了一些函数
- 例如其中一部分 : 当用户模式程序调用 Win32 APl函数(如 SendMessage,PostMessage,DefwindowProcCallWindowProc,SetWindowsHookEx等)时,这些调用最终会陷入内核模式,并由win32k.sys 或 win32kfull.sys 中的相应系统调用处理程序接收。这些系统调用处理程序通常不会直接包含所有逻辑。它们会根据传入的参数(例如消息 ID、窗口类、钩子类型等)从 mpFnidPfn 或其他类似的表中查找正确的处理函数指针,然后调用该指针指向的函数。NtUserMessageCall的函数,内部逻辑会更复杂,但最终也会依赖这些函数指针表来分发任务
签名处理
这里是直接读PE里面的
- 检查证书的签名者是否为 "Microsoft Corporation"。
- 是微软的放到可信任列表
内存开辟
- 大多数内存开辟的名字是 'FkTX' 'SBTX' '0000' 'LTSK'
- 这不是一个玩笑
堆栈回溯函数是RtlWalkFrameChain
在绝大多数函数处理中,仅仅判断进程PID大于5的
HalQueryRealTimeClock处理
检查进程是否有ProcessBreakOnTermination标志
- BreakOnTermination:
该位置1后,任务管理器结束进程时将提示“是否结束系统进程XXX”。结束后windbg将会断下。