简易绕过ObRegisterCallbacks对句柄权限的限制[BE|EAC]

huoji120

长话短说,我看到国内某些人把这种最简单的技术拿去"卖"而且卖到几千元一个月的时候我觉得是时候必要的献丑一下了.
这技术本来就不难,我之前的av killer(其实是handlemaster)其实也是这个这个.让我慢慢来讲解一下:
0x1 背景:
在Windows Vista之前的系统(包括WIN7 32) 正常商业软件(注意是正常商业软件)是可以进行SSDT HOOK的.
什么是SSDT HOOK建议百度.
然而在Windows Vista以及WIN 7 x64之后引入了一个叫做PG(PatchGuard)的系统
虽然可以绕过,但是如果商业软件比如杀毒软件,反作弊软件这样做了,被举报了,微软会吊销他们的数字签名。所以SSDT HOOK可以说在这之后就 没软用了
那么失去SSDT HOOK怎么能保护杀毒软件、反作弊的游戏进程呢？
答案是ObRegisterCallbacks这个回调。杀毒软件/反作弊软件通常会在这个回调处理程序打开的句柄,把你的打开进程的句柄降级为最低级.这样你就无法对进程进行读写操作了.起到了"保护作用".
0x2 handletable背景/思路:
每个进程都有一个叫做进程句柄表（HANDLETABLE）的东西。这里面放着这个进程的全部句柄以及各种详细句柄信息.包括 句柄权限 所以既然我们不能直接remove掉ObRegisterCallbacks(会被反作弊发现)所以我们直接修改句柄表里的我们的句柄权限达到让"进程保护"失效的目的
0x3 基本知识:
在win7下
handletable是_EPROCESS + 0x200(windbg下看符号表名字为ObjectTable)

有人好奇为什么有几个0x000
因为前几个是一个union结构.
而那些就是我们的句柄
而位于0x008的GrantedAccess,就是权限,也就是我们需要修改的东西
我们只需要:
1.遍历句柄,找到和用户传来要提权的句柄一样的句柄
2.修改GrantedAccess为0x1FFFFF(最高权限)
here we go:

这个方法是能解决掉所有的杀毒软件/反作弊软件包括所谓的BE EAC TP NP XXX的降权处理
have fun
如果你想私聊问我源码/怎么编译/怎么用.
你需要配置一个WDK驱动开发环境 + vmware虚拟机调试环境
剩下的百度 : )

baby

然而 BE 会安排你 会主动检测句柄权限

chen4321

这方法早就被安排了吧，还有你那几个帖子确定不是来自某外国论坛？

huoji120

baby 发表于 2018-10-13 02:22
然而 BE 会安排你 会主动检测句柄权限

不确定会不会。因为我从来就没用过这个方法

huoji120

baby 发表于 2018-10-13 02:22
然而 BE 会安排你 会主动检测句柄权限

不过如果不是一直打开的(只用于注入等)的，应该是不会检测的。

xiaowanzi52

看着 好孩子 天天学习 好好向上呢

Alliance

那么 如何加载自签名驱动呢 我尝试了似乎仍然不能加载

Nanometer

好哥哥 能帮助我一起研究么 我现在几乎停留在CE寻找基址了。。 什么过VAC dll注入 完全不明白 也找不到教程