设为首页收藏本站我的广告
开启辅助访问 切换到窄版

12558网页游戏私服论坛

 找回密码
 立即注册
游戏开服表 申请开服
游戏名称 游戏描述 开服状态 游戏福利 运营商 游戏链接
攻城掠地-仿官 全新玩法,觉醒武将,觉醒技能 每周新区 经典复古版本,长久稳定 进入游戏
巅峰新版攻 攻城掠地公益服 攻城掠地SF 新兵种、新武将(兵种) 进入游戏
攻城掠地公 散人玩家的天堂 新开 进入游戏
改版攻城掠 上线即可国战PK 稳定新区 全新改版,功能强大 进入游戏
少年江山 高福利高爆率 刚开一秒 江湖水落潜蛟龙 进入游戏
太古封魔录 开服送10亿钻石 福利多多 不用充钱也可升级 进入游戏
神魔之道 签到送元宝 稳定开新区 送豪华签到奖励 进入游戏
神奇三国 统帅三军,招揽名将 免费玩新区 激情国战,征战四方 进入游戏
龙符 三日豪礼领到爽 天天开新区 助你征战无双 进入游戏
王者之师 免费领豪华奖励 免费玩新区 6元送6888元宝 进入游戏
12558网页游戏私服论坛»论坛 游戏源码研究 单机游戏源码 KPPL 杀死PPL进程
返回列表 发新帖
查看: 258|回复: 0

KPPL 杀死PPL进程

[复制链接]
白刃玄衣及

305

主题

305

帖子

620

积分

实习版主

Rank: 7Rank: 7Rank: 7

积分
620
发表于 2022-1-28 21:47:35 | 显示全部楼层 |阅读模式
PPL历程,一样平常都是杀软和微软某些历程独有的特征。
我们知道,内核中的对象类型有PsProcessType,PsThreadType,PsJobType等类型。
通过对ObDublicateObject、ObpFilterOperation、ObpCallPreOperationCallbacks、ObpCreateHandle的IDA查看,我们发现了如下类似的代码。
(a1->TypeInfo.ObjectTypeFlags & 0x40) != 0 && a1->CallbackList.Flink != &a1->CallbackList;紧接着,我们查看一下历程对象的结构体。
0: kd> dt nt!_object_type ffffe78f`93ca8d20   +0x000 TypeList         : _LIST_ENTRY [ 0xffffe78f`93ca8d20 - 0xffffe78f`93ca8d20 ]   +0x010 Name             : _UNICODE_STRING "Process"   +0x020 DefaultObject    : (null)    +0x028 Index            : 0x7 ''   +0x02c TotalNumberOfObjects : 0x1f8   +0x030 TotalNumberOfHandles : 0x728   +0x034 HighWaterNumberOfObjects : 0x1f8   +0x038 HighWaterNumberOfHandles : 0x881   +0x040 TypeInfo         : _OBJECT_TYPE_INITIALIZER   +0x0b8 TypeLock         : _EX_PUSH_LOCK   +0x0c0 Key              : 0x636f7250   +0x0c8 CallbackList     : _LIST_ENTRY [ 0xffffd105`77373e40 - 0xffffd105`77373e40 ]0: kd> dx -id 0,0,ffffe78f93c5d080 -r1 (*((ntkrnlmp!_OBJECT_TYPE_INITIALIZER *)0xffffe78f93ca8d60))(*((ntkrnlmp!_OBJECT_TYPE_INITIALIZER *)0xffffe78f93ca8d60))                 [Type: _OBJECT_TYPE_INITIALIZER]    [+0x000] Length           : 0x78 [Type: unsigned short]    [+0x002] ObjectTypeFlags  : 0xca [Type: unsigned short]    [+0x002 ( 0: 0)] CaseInsensitive  : 0x0 [Type: unsigned char]    [+0x002 ( 1: 1)] UnnamedObjectsOnly : 0x1 [Type: unsigned char]    [+0x002 ( 2: 2)] UseDefaultObject : 0x0 [Type: unsigned char]    [+0x002 ( 3: 3)] SecurityRequired : 0x1 [Type: unsigned char]    [+0x002 ( 4: 4)] MaintainHandleCount : 0x0 [Type: unsigned char]    [+0x002 ( 5: 5)] MaintainTypeList : 0x0 [Type: unsigned char]    [+0x002 ( 6: 6)] SupportsObjectCallbacks : 0x1 [Type: unsigned char] \\ This flag effect the callback function    [+0x002 ( 7: 7)] CacheAligned     : 0x1 [Type: unsigned char]    [+0x003 ( 0: 0)] UseExtendedParameters : 0x0 [Type: unsigned char]    [+0x003 ( 7: 1)] Reserved         : 0x0 [Type: unsigned char]通过发现,SupportsObjectCallbacks决定了该内核对象是否支持内核对象回调。
由此,产生了一个想法,我们通过漏洞驱动读写内核,是否就可以绕过ObjectCallback hook 拿到PPL历程的句柄呢?最终通过加载Procexp152.sys和RTCore64.sys 配合使用实现了仓库里的代码。
备注:修改标志位,拿到句柄权限,再改归去,避免PG。
https://github.com/BeneficialCode/KPPL

来源:http://www.12558.net
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
楼主热帖
回复

使用道具 举报

返回列表 发新帖
*滑块验证:
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|12558网页游戏私服论坛 |网站地图

GMT+8, 2024-4-24 08:48 , Processed in 0.125000 second(s), 30 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表