吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
查看: 29462|回复: 172
上一主题 下一主题

[游戏安全] 绝地求生PAK绕过的漏洞讨论

  [复制链接]
跳转到指定楼层
楼主
asdiopss 发表于 2018-7-23 01:46 回帖奖励
大周末的,本想好好玩玩吃鸡,被外挂虐惨了,于是到处搜索,发现可以通过修改PAK文件的方法实现一些功能
于是决定折腾一下。
最开始我在github上面看到了章鱼的一套源码,利用的是minifliter来实现的,原理就是注册一个微过滤驱动,并且在读
的回调里,判定操作对象和上线文,对PUBG访问PAK进行拦截,但是好像这种方法已经被和谐,我试着编译了一个,果然
牺牲了一个绝地的号,然后我就想,绝地肯定是要读这个文件的,我又尝试用独占PAK的方法来锁,但是但是现在ban的非
常厉害 基本都是在线25 全局封禁。
我专门抓了一下 知道了大概的思路
微软提供的Procmon还是蛮好用的 不会被反调试检测到...但是功能比较弱 对付PAK检测流程足够了
首先 在PUBG init的时候 有一个动作 很少见
createfile \paks
createfile可以打开设备对象 文件 其实还有目录
我知道可以打开目录 但是真正的从来没有用过
PUBG用这种方式把所有的pak文件读入内存 如果丢进去一个编辑过的PAK文件 可以实现各种什么无后座 除草遁地
其实我一直觉得这样读文件真TM S B...但是也可能是这个位置代码不好改 一动就动全身 不过讲道理 你每次更新恨不
得比游戏本体都大 这点代码不会改?
PUBG在这里加了一个检测
第一个圈缩完的时候 差不多这个时候吧 检测开始
createfile
ntqeuryinfomationfile
这两个函数,那么思路来了,做掉这两个函数 应该就能规避掉他的检测。
参数我也找出来了
5和14
MSDN我查了一下
FileStandardInformation和FilePositionInformation
具体见 https://docs.microsoft.com/en-us ... ueryinformationfile
看起来没什么比较特殊的 具体内部不知道 但是应该不会上传服务器验证 只是本地一个校验 我没有去搞反反调试 我的WIN7除了点问题 我不想在物理机上各种加载驱动
这次抓了一下API CALL以后差不多想通了PUBG的SB思路了。
createfile遍历 然后读取整个目录的文件 依次读出来 然后进行验证 这就给了隐藏文件的用处
隐藏文件内核里面走的API其实是ntquerydrietoryfile.根据infomation会返回不同结构 大部分结构中都包含一个链表
其实只要写一个minifilter驱动 把链表中的文件移出去 就跟以前隐藏进程一样 就能实现隐藏文件

方法的确是有效的 但是ban的也快 我觉得是特征码被抓了
于是我尝试了加壳 隐藏驱动 删服务 删注册表 都无效
我说句实话 PUBG这个游戏敢去扫内核内存?我是不太信的...这事实在是有点太危险了...在隐藏驱动之后(pchunter查不到)的情况下 想抓出来一个驱动很难 扫内核内存?你不怕蹦么..
所以我开始甩锅给minifilter 我觉得是检查了微过滤的特征
然后我饶了一条远路 艹PG 然后上内核钩子
结果还真的绕过去了...
上图
就做了个除草,染色,无后座。

性感双排,在线吃鸡,本来想把这个拿去换点钱的,想想还是算了,具体代码我就不公布了,贴个思路而已

至于具体怎么过滤,windbg挂上去,看看这两个函数的参数 ,大概就懂了!

从中午开始玩,到现在发帖,我的号依旧坚挺,期间尝试了一把遁地,然后0杀吃鸡,还是没有被Ban ,蓝洞真JB弱智!

睡觉睡觉,MD 头都秃了

点评

非常好的思路!不过做掉PG现在也就只能在WIN7上搞搞。  发表于 2018-7-23 13:12

免费评分

参与人数 37吾爱币 +34 热心值 +35 收起 理由
beijihu999 + 1 用心讨论,共获提升!
qkonline + 1 艹PG 然后上内核钩子具体怎么做到的?求例子。
一枪毙命 + 1 + 1 我很赞同!
lixizhe + 1 + 1 我很赞同!
shuimuyi + 1 + 1 用心讨论,共获提升!
tuchangyi + 1 + 1 用心讨论,共获提升!
qhtfyya1996 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
XMb1zyhEXXzr0aY + 1 + 1 热心回复!
空巷青年 + 1 谢谢@Thanks!
kilkilo502 + 1 我很赞同!
气质唯 + 1 热心回复!
冰炎梦幻 + 1 祝开挂的兄Dei打一把家里走一次水
sun1126 + 1 + 1 热心回复!
安琪拉 + 1 + 1 热心回复!
五月天下雨 + 1 + 1 用心讨论,共获提升!
y0di + 1 + 1 谢谢你的思路
谁在岁月长叹息 + 1 + 1 祝开挂的兄Dei打一把短1CM
ddw9988 + 1 + 1 骚啊
MXWXZ + 3 + 1 我很赞同!
搜喽小女 + 1 + 1 看都不看,直接点赞
神枪泡泡丶 + 2 + 1 用心讨论,共获提升!
linxi7 + 1 + 1 dalao,多更更视频呗~
葡萄demo + 1 + 1 热心回复!
gfxy888 + 1 + 1 楼主热心啊,可惜你这图一出来你的98元又要泡汤了!
xwei227 + 1 + 1 求抱大腿,不会代码,只会玩游戏
ouyangjianping + 1 热心回复!
小叶- + 1 + 1 我很赞同!
swdkll + 1 + 1 最近经常遇到飞车挂,楼主能讲一下原理吗
woaini1123 + 1 + 1 谢谢@Thanks!
leoleoleo + 1 + 1 我很赞同!大神啊
fengdekun + 1 + 1 谢谢@Thanks!
kicebeauty + 1 + 1 谢谢@Thanks!
Gary路过嘻嘻 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
smart622019 + 1 我很赞同!
二逼159 + 1 + 1 谢谢@Thanks!
QEY + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
781732825 + 1 + 1 我就看看,谢谢提供技术研究。

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
请叫我老武 发表于 2019-8-9 05:00
WO CAO NI MA
推荐
invokerez 发表于 2018-7-29 19:27
读了楼主的贴子,有些地方理解了
不过有几个问题(23号竟然还能用),但是楼主你是隐藏了遍历列表里的“pak”吧,不是仅仅隐藏的pak文件吧
我的bypass直接把原始的pak删掉了,但是be还是能够发现数据异常,感觉是在检查文件启动时调用的pak涉及的内存,而不仅仅是目录结构里的列表。
想请教一下,这块是怎么绕过去的呢?
4#
 楼主| asdiopss 发表于 2018-7-23 01:50 <
补充一点
在隐藏文件之后,PUBG开始检测的时候 会先遍历所有文件
但是PAK文件已经被隐藏 所以任何readfile和queryinfomationfile都读不到那个修改过的PAK
从而实现了绕过
5#
asd9988 发表于 2018-7-23 01:55
最终是要R0来对抗他的玩意儿啊?
6#
走过的天 发表于 2018-7-23 01:59
看不懂的我也就路过了
7#
houhonfa 发表于 2018-7-23 02:00 来自手机
我大半夜试了一下
8#
hushujia 发表于 2018-7-23 02:04
看不懂,也不玩这游戏
9#
手起刀落嘤嘤怪 发表于 2018-7-23 02:11
看来要去学内核了
10#
qqxuanxuan 发表于 2018-7-23 02:41
看不懂  一脸懵逼
11#
昌少liu 发表于 2018-7-23 02:44
虽然我不懂,但是好流弊的样子
头像被屏蔽
12#
781732825 发表于 2018-7-23 02:50
提示: 作者被禁止或删除 内容自动屏蔽
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:禁止回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2019-10-23 07:01

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表