[原创]关于某美公司的csgo保护驱动逆向分析(一):初见庐山真面目 | 宜武汇-ag真人国际厅网站

这段时间迷上了csgo,想着研究一下关于它的反作弊,于是便有了今天这篇帖子

那么众所周知,国内的csgo平台三巨头分别是某美,某e,某马桶,后两个不说了,一个直接开转,一个号太贵,所以我选择了某美平台

起初我以为会十分顺利,结果彻底各种被各种爆栈和回溯恶心到了,再无数次拉闸与被ac调戏过后,选择写篇帖子来找找存在感

 

现在进ida看看,可以看到只有少部分代码是被vm的,但是恕我这个菜鸡搞不定vm,所以只能挑可以一键f5大法的地方,很多内容可以到导入表直接交叉引用来查看,这里只挑关键的地方(由于刚开始逆,部分地方没有仔细看,只是大概内容,可能有些地方逆错了,还请大佬们指出)

反作弊驱动名:messagetransfer.sys,开机自启动,对自身和系统文件都有校验,不可以修改类似dxgkrnl.sys的系统驱动,大概可以确定是使用fltsendmessage进行通讯

1.全线程堆栈回溯-rtlwalkframechain


dpc定时器循环下发apc爆栈,老生常谈了,这里不作过多解释

 

2.对于进程的apc相关操作
这里还没有时间仔细去看插入进程apc的全部代码,但是大概看了上下文代码反作弊不是无脑插apc,应该动了手脚,这使得如果你试图去修改thread 0x74的queque标志位绕过apc检查,那么你的进程会崩溃(实际测试中所发生,问题应该在此处,尚未确定进程崩溃与反作弊有关,后续会更新),在往里面走就是一堆循环,目前不清楚是做什么的

 

3.通讯 (fltsendmessage)

 

4.最后来个彩蛋(虽然可能你们都知道)

 

以前的我:反作弊应该不会用vt吧?
现在的我:麻麻我要回家

 

关于这个驱动的更多详细信息,大家请自行探索,不要干不好的事哦~
(第一次体会vm少到代码逆不完的感觉,点名批评某蓝色的熊),不过感觉vm仍然是绕不过去的一道坎,如该驱动的关键部分(比如上报)仍然是被vm所保护起来了的

原文链接:https://bbs.kanxue.com/thread-277287.htm

网络摘文,本文作者:15h,如若转载,请注明出处:https://www.15cov.cn/2023/08/27/原创关于某美公司的csgo保护驱动逆向分析一:初见/

发表评论

邮箱地址不会被公开。 必填项已用*标注

网站地图