23年的EAC 驱动注入
开源个驱动注入翻看了自己的Git 下载下来
并没有什么牛逼技术不过还是给小白简单解释下(不知道图片会不会上传)
一些函数地址是用的内核PDB 解析获取的 这里建议用3环解析函数吧 不写3环的话 搜特征码吧
SetProcessRip 修改进程Rip
ShellCode 没什么好说的
内存申请 如何处理:
我这里注入申请的内存用的的是ExAllocatePool 去申请内存 无非就是构建PTE 刷新页表 TLB 那一套 CV即可
// MmAllocateContiguousMemorySpecifyCache 自建内存页 用这个函数试下吧
ExAllocatePool会被 ZwQuerySystemInformation 检测到申请内存之后 怎么处理内存?
可以上虚拟化的内存隐藏
两种方式
1.EPT 页表隔离 隐藏物理内存地址(GPA->HPA)
2,内存空间伪装 将注入的DLL 放到低权限页就是PAGE_READONLY
通过VMX_VMCS_CONTROL 寄存器修改CR3 指向伪装的页目录基质
再建立物理地址和虚拟地址的映射
自己的DLL 也要处理 自己研究吧
接触到虚拟化可以去尝试下 现在都是偏硬件外挂 注入挂很少
劫持RIP也是烂大街的技术了 不过我看了很多开源注入代码 并没有用到如何申请内存 这里直接CV截止目前依旧可以注入PUBG 全镜2DNF 无畏
自己测试吧
感谢分享
页:
[1]