前言:
- 重要!Windows 22H2下加载CE驱动会报签名吊销。
- 本文会详解CE某些功能的实现和调用。
- 本文内容较多,不想看内容请直接拉到底。
- 本程序调用CE驱动实现,仅供学习参考,禁止用于非法用途(放心,原版CE的驱动,早就是黑名单上的东西)
- Cheat Engine源码:Cheat-Engine
如何调用CE驱动?
调用CE驱动是一个比较困难的事情,主要体现在两个方面:
首先是加载驱动:正常加载CE驱动时程序会读取RegistryPath下的A/B/C/D项作为“DriverString”“DeviceString”“ProcessEventString”和“ThreadEventString”
- 大致代码:
- 不过这部分绕过很简单,模拟CE写好注册项就好。
- 大致代码:
其次的部分是最难的,不要以为驱动加载起来之后就完事大吉。
- 当你加载好驱动,用CreateFileA创建驱动通信句柄时,却发现会创建失败。
- 看CE代码:
- 首先创建端口时使用了SeSinglePrivilegeCheck检测进程是否有SE_DEBUG_PRIVILEGE(调试权限),没有就返回STATUS_UNSUCCESSFUL,其次程序会使用SecurityCheck校验程序是否为CE。
- SecurityCheck首先调用了ZwQueryInformationProcess获取进程IMAGE路径,然后使用CheckSignatureOfFile校验程序。
- CheckSignatureOfFile部分代码:
- 这个检测很严格,首先用CheckSignature命令检测程序数字签名是否正常,然后又使用TestProcess检测进程的.text段是否正常,总之,这两步校验在驱动层完成,用户层想要直接绕过两次校验的可能性基本为0。
- 那么应该怎么绕过去呢?
- 其实方法有很多,例如CE在启动的时候会加载lua53-32.dll,只要知道这点问题就很简单了。
- 首先用易语言创建一个Dll(源码:lua注入.e),劫持掉lua53-32.dll,然后主程序启动正常CE,被劫持中的lua53-32.dll使用CreateFileA创建驱动通信句柄即可,创建好句柄后再利用DuplicateHandle函数将驱动句柄拷贝给主程序即可:
- 测试非常成功:
- 注意,开启x64的CE后,有可能会导致x86的CE加载失败(概率比较低,但是原因不明),所以使用CE驱动时最好不要先启动着x64的CE。
CE驱动的功能:
CE驱动的功能非常的多(DBVM技术,VT技术,读写什么的都有)
看了一下驱动中DispatchIoctl部分的代码,大致写了一点接口出来:
1.IOCTL_CE_READMEMORY:
- 读进程数据(一次性读最多32767Byte),没什么说多的。
- 原理:KeAttachProcess附加到进程,检测地址是否可读,检测是否读取内核数据,RtlCopyMemory读取数据,KeDetachProcess取消附加,非常简单:
- 测试结果(读取ntoskrnl.exe的内核数据):
2.IOCTL_CE_WRITEMEMORY:
- 写进程数据(一次性读最多32767Byte),没什么说多的。
- 原理:KeAttachProcess附加到进程,检测地址是否可写,检测是否是写入内核数据,RtlCopyMemory读取数据,KeDetachProcess取消附加
3.IOCTL_CE_OPENPROCESS
- 打开任意进程。
- 原理:PsLookupProcessByProcessId将PID转换为EPROCESS,然后使用ObOpenObjectByPointer实现将EPROCESS打开一个引用对象,最后ObDereferenceObject函数减少一次EPROCESS的引用,将打开的对象返回给程序即可。
- 测试结果(尝试打开进程System,成功拿到其Full Control的进程句柄):
4.IOCTL_CE_OPENTHREAD
- 打开任意线程。
- 原理:使用内核ZwOpenThread函数
5.IOCTL_CE_QUERY_VIRTUAL_MEMORY
- 查询内存属性
- 原理:KeAttachProcess附加到进程,将虚拟地址转换为PageIndex,直接查询Page保护属性,最后KeDetachProcess取消附加,大致的过程:
6.IOCTL_CE_GETPETHREAD
- 获取PETHREAD
- 原理:PsLookupThreadByThreadId函数直接获取
7.IOCTL_CE_GETPEPROCESS
- 获取PEPROCESS
- 原理:PsLookupProcessByProcessId函数直接获取
8.IOCTL_CE_GETPHYSICALADDRESS
- 将虚拟内存地址转物理内存地址
- 原理:PsLookupProcessByProcessId函数获取进程EPROCESS地址,KeStackAttachProcess附加到进程,MmGetPhysicalAddress将虚拟内存地址转换为物理地址,最后KeUnstackDetachProcess取消进程附加,大致图:
- 基本效果:
9.IOCTL_CE_READPHYSICALMEMORY
- 读取物理内存
- 原理:利用ZwOpenSection函数打开\device\physicalmemory,然后使用ZwMapViewOfSection将物理内存映射到虚拟内存进行读。
10.IOCTL_CE_WRITEPHYSICALMEMORY
- 写物理内存
- 原理:利用ZwOpenSection函数打开\device\physicalmemory,然后使用ZwMapViewOfSection将物理内存映射到虚拟内存进行写。
11.IOCTL_CE_CREATEAPC
- 创建线程APC
- 原理:利用KeInitializeApc和KeInsertQueueApc函数直接实现向线程中插入APC。大致代码:
12.IOCTL_CE_SUSPENDTHREAD
- 暂停线程
- 原理:内核暂停线程非常简单,直接给线程插一条APC,然后使用KeWaitForSingleObject去无限等待。
13.IOCTL_CE_RESUMETHREAD
- 恢复线程
- 原理:解除KeWaitForSingleObject的无限等待。
14.IOCTL_CE_SUSPENDPROCESS
- 暂停进程
- 原理:PsSuspendProcess直接暂停进程。
15.IOCTL_CE_RESUMEPROCESS
- 恢复进程
- 原理:PsResumeProcess恢复进程运行。
16.IOCTL_CE_ALLOCATEMEM
- 分配内存
- 原理:ZwAllocateVirtualMemory直接分配内存。
17.IOCTL_CE_EXECUTE_CODE
- 运行代码
- 原理:直接运行(注意,不能用这个操作执行任何的R3代码)。大致代码:
18.IOCTL_CE_READMSR
- 读MSR寄存器
19.IOCTL_CE_WRITEMSR
- 写MSR寄存器
20.IOCTL_CE_MAP_MEMORY
- 映射任意内存到本地内存。
- 原理:用IoAllocateMdl给欲映射的虚拟内存分配一张MDL,用MmProbeAndLockPages使其内存驻留,最后使用MmMapLockedPagesSpecifyCache将MDL映射到指定虚拟内存地址。
- 测试效果(将ntoskrnl.exe的内核数据映射到用户层,还可以直接任意读写,因为物理地址相同):
IOCTL_CE_UNMAP_MEMORY
- 解除IOCTL_CE_MAP_MEMORY的映射
- 原理:用MmUnmapLockedPages解除映射,然后用MmUnlockPages解除页面锁定。
PS:
- 为什么写那么多?
- 可能我只是想让大家知道,驱动层没有想象的那么难,也没有想象的那么简单。
- CE的驱动的学习价值是很大的,还有一些接口还没做,自己按照需要去玩吧
感谢分享