COW注入器-滥用COW机制进行全局注入

huoji120

首先的首先 2021年各位新年好 来52破解也有点年头了 一直不发帖当伸手党也不好 所以发一下我自己的帖子 这是我2021年在52的第一篇帖子

0x0 我们要实现什么
1 启动时无驱动程序运行
2 不会创建线程在进行游戏注入的时候
3. 当我们完成注入时，VAD中没有 private 标志
4. 不走manual map 直接绕过minifilter加载dll
它将最小化内部检测的检测向量

0x1 背景
关于COW:

系统中存在一个叫做cow的机制 国外大神@can1357的perfect injecter帖子说的很清楚了:

CoW是操作系统用来节省内存的一种技术，它使进程共享某些物理内存区域，直到它们真正被编辑。
我们知道这一点ntdll.dll为每个进程加载，并且它的代码（.text）区域很少被修改（如果有的话），那么为什么要为它一次又一次地为数百个进程分配物理内存呢？这正是现代操作系统使用CoW技术的原因。
实现非常简单：
当一个PE文件被映射时，如果它也被映射到其他进程，并且它的VA在当前进程上也是空闲的，那么只需复制PFN并将标志设置为只读。
当由于指令试图在页上写入而发生页错误时，请分配新的物理内存，设置PTE的PFN并删除只读标志。

综上所述：当我们更改了cow标志时，物理内存将比更改应用于全局，直到重新启动系统


关于反作弊如何阻止dll：
大多数反游戏（除了EAC）使用minifilter来过滤游戏加载文件。当一个PE文件被游戏访问时，minifilter回调将被激活, 然后反作弊驱动程序将文件路径和信息反馈给R3 anticheat（EasyAntiCheat.exe以及BEService.exe)R3反作弊会调用CreateFile读取要访问的PE文件并检查签名，如果不是白名单签名，它将被阻止加载.
0x2 实现COW注入器
首先定位cow物理内存:

获取cow模块地址和空间

现在我们有了kernel32.dll、kernelbase.dll、ntdll.dll地址。当我们改变内存时，它将通过cow机制实现全局应用
3. 写shellcode

我写一个简单的createfileW hook,游戏开始时候会调用createfileW,此时我们会loadlibrary我们的dll
之后R3反作弊也会调用createfileW去检查文件数字签名,这个时候我们把createfilew读的文件换成ntdll.dll
你可以看到这里面有一些是 0x1234567812345678 这种无效地址,这种是给接下来定位用的我不想滥用像perfect inject这样的windows地址限制机制，所以我们需要找到一个可用内存（VAD中需要执行标志），并使用它保存shellcode：

如果一切顺利，我们可以得到一个空闲内存，可以容纳我们的shellcode和cow标志模块地址。
请注意，我尝试将外壳代码直接放入只读地址（因为它更大）并对其进行修改PTE.noexcute=0尝试使页可执行，但是发现没软用。因为似乎即使物理地址相同，PTE属性也不同
现在让我们获取导出函数以满足hook的需要：然后，最重要的是，自己手写hook：
我们需要手写hook，这是非常痛苦的
在win7中kernel32.createfileW是一个函数，但在win10中它是一个jmp origin_to_kernelbase.dll 这个代码困扰了我很长时间，直到我发现两个系统之间的差异。
用一张图片来解释我们要钩什么：

代码:

然后我们将在shellcode中找到地址并传递正确的函数地址（这就是为什么我们需要写 0x123456789地址）：


最后 hook:


总结一下：
0 手写shellcode
1 加载我们的驱动程序
2 获取kernelbase ntdll kernel32地址
3 通过遍历pe头查找导出函数
4 找到一个空间来保存我们的shellcode
5 重新定位shellcode函数地址
6 钩子Kernelbase.CreatefileW文件
7 当游戏开始时，shellcode调用并加载我们的外挂dll，当反作弊调用createfilew时，给出一个假的ntdll路径
测试:

源码下载(由于我的github引用了其他的项目并且写了引用连接,不确定会不会被52pojie视为外链视为违规,所以我压缩了一份发给你们)

CowInject.zip (8.57 KB, 下载次数: 151)

2021-1-1 20:12 上传

点击文件名下载附件

注意事项:
可以看出，滥用cow机制不仅可以实现注入，而且具有很大的潜力，包括不局限于绕过硬件禁止，修改签名检查功能，甚至劫持句柄, 你想怎么搞就怎么搞
请注意：
你不能只是复制一个函数作为shellcode，gcc会破坏掉shellcode，所以你需要像这样在R3中生成shellcode并把它放到驱动程序中：

刺蝴蝶De箫启灵

贝优妮塔 发表于 2021-1-1 20:40
看的头昏脑涨 咦 突然想起好久没见过@刺蝴蝶De箫启灵 了

山无棱，天地合~~~~想起那天夕阳下的奔跑

VIP007

收藏了，谢谢

贝优妮塔

看的头昏脑涨 咦 突然想起好久没见过@刺蝴蝶De箫启灵 了

万神fake

那什么国外大神的帖子在那个论坛看的

klamauk

我觉得不要写COW，写copy on write更好吧。

13729181580

支持一下！谢谢分享

Jack2002

牛B，看起来不错，公开就会被和诣吧！

huoji120

Jack2002 发表于 2021-1-1 21:17
牛B，看起来不错，公开就会被和诣吧！

公开的很容易被和谐

sgh2zlx

是我想要找的内容，不过，看不懂

huoji120

万神fake 发表于 2021-1-1 21:04
那什么国外大神的帖子在那个论坛看的

不好说啊,说了好像会违反版规