[VC] 过掉双机调试TP 蓝屏

1. #pragma once
   
2. 
   
3. #include <ntddk.h>
   
4. 
   
5. //驱动卸载
   
6. void UnloadDriver(PDRIVER_OBJECT pDriverObject);
   
7. void HookIoAllocateMdl();
   
8. 
   
9. typedef PMDL (__stdcall *pIoAllocateMdl)(
   
10.         _In_opt_    PVOID   VirtualAddress,
    
11.         _In_        ULONG   Length,
    
12.         _In_        BOOLEAN SecondaryBuffer,
    
13.         _In_        BOOLEAN ChargeQuota,
    
14.         _Inout_opt_ PIRP    Irp
    
15. );
    
16. 
    
17. pIoAllocateMdl g_pIoAllocateMdl = NULL;
    
18. 
    
19. //去掉页面保护
    
20. void ErasePageProtect()
    
21. {
    
22.         __asm
    
23.         {
    
24.                 cli
    
25.                 mov eax, cr0
    
26.                 and eax, not 10000h
    
27.                 mov cr0, eax
    
28.         }
    
29. }
    
30. 
    
31. //恢复页面保护
    
32. void RenewPageProtect()
    
33. {
    
34.         __asm
    
35.         {
    
36.                 mov eax, cr0
    
37.                 or eax, 10000h
    
38.                 mov cr0, eax
    
39.                 sti
    
40.         }
    
41. }
    
42. 
    
43. ULONG g_uOldIoAllocateMdlAddr = 0;

复制代码

1. #include "Pass_Debugger.h"
   
2. 
   
3. //驱动加载
   
4. NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pStrRegPath)
   
5. {
   
6.         UNREFERENCED_PARAMETER(pDriverObject);
   
7.         UNREFERENCED_PARAMETER(pStrRegPath);
   
8. 
   
9.         KdEnableDebugger();
   
10.         KdPrint(("驱动加载成功!\n"));
    
11.         pDriverObject->DriverUnload = UnloadDriver;
    
12.         HookIoAllocateMdl();
    
13.          
    
14.         return STATUS_SUCCESS;
    
15. }
    
16. 
    
17. //驱动卸载
    
18. void UnloadDriver(PDRIVER_OBJECT pDriverObject)
    
19. {
    
20.         UNREFERENCED_PARAMETER(pDriverObject);
    
21. 
    
22.         UCHAR uOldBytes[5] = { 0x8B, 0xFF, 0x55, 0x8B, 0xEC };
    
23. 
    
24.         KIRQL irql = KeRaiseIrqlToDpcLevel();
    
25. 
    
26.         ErasePageProtect();
    
27.         RtlCopyMemory((PVOID)g_uOldIoAllocateMdlAddr, uOldBytes, 5);
    
28.         RenewPageProtect();
    
29.         KeLowerIrql(irql);
    
30. 
    
31.         KdPrint(("驱动卸载成功!\n"));
    
32.         if (g_pIoAllocateMdl != NULL)
    
33.         {
    
34.                 ExFreePool(g_pIoAllocateMdl);
    
35.                 g_pIoAllocateMdl = NULL;
    
36.         }
    
37. }
    
38. 
    
39. //获取KdEnteredDebugger地址 直接通过extern搜索 因为它是导出的全局变量
    
40. extern ULONG KdEnteredDebugger;
    
41. 
    
42. PMDL HookedIoAllocateMdl(
    
43.         _In_opt_    PVOID   VirtualAddress,
    
44.         _In_        ULONG   Length,
    
45.         _In_        BOOLEAN SecondaryBuffer,
    
46.         _In_        BOOLEAN ChargeQuota,
    
47.         _Inout_opt_ PIRP    Irp
    
48. )
    
49. {
    
50.         //直接让他访问0 就完事
    
51.         if (VirtualAddress == (PVOID)KdEnteredDebugger)
    
52.         {
    
53.                 VirtualAddress = (PVOID)(KdEnteredDebugger + 0x20);
    
54.         }
    
55. 
    
56.         return g_pIoAllocateMdl(VirtualAddress, Length, SecondaryBuffer, ChargeQuota, Irp);
    
57. }
    
58. 
    
59. void HookIoAllocateMdl()
    
60. {
    
61.         //定位IoAllocateMdl
    
62.         UNICODE_STRING strIoAllocateMdl = RTL_CONSTANT_STRING(L"IoAllocateMdl");
    
63.         ULONG uIoAllcateMdlAddr = (ULONG)MmGetSystemRoutineAddress(&strIoAllocateMdl);
    
64.         if (uIoAllcateMdlAddr == 0)
    
65.                 return;
    
66.         KdPrint(("uIoAllcateMdlAddr:%x\n", uIoAllcateMdlAddr));
    
67.          
    
68.         KdPrint(("KdEnteredDebugger:%x\n", KdEnteredDebugger));
    
69. 
    
70.         g_uOldIoAllocateMdlAddr = uIoAllcateMdlAddr;
    
71.         KIRQL irql = KeRaiseIrqlToDpcLevel();
    
72.          
    
73.         g_pIoAllocateMdl = ExAllocatePool(NonPagedPool, 0x20);
    
74.         RtlZeroMemory(g_pIoAllocateMdl, 0x20);
    
75.         //构造 g_pIoAllocateMdl
    
76.         RtlCopyMemory((PVOID)g_pIoAllocateMdl, (PVOID)uIoAllcateMdlAddr, 5);
    
77.         //构造 g_pIoAllocateMdl 回调跳转
    
78.         UCHAR uJmpCallBack[7] = { 0xEA, 0x00, 0x00, 0x00, 0x00, 0x08, 0x00};
    
79.         *(PULONG)(uJmpCallBack + 1) = uIoAllcateMdlAddr + 5;
    
80.         RtlCopyMemory((PVOID)((ULONG)g_pIoAllocateMdl + 5), uJmpCallBack, 7);
    
81. 
    
82.         //我们使用jmpHook 不使用call  call相对比较麻烦 还要首先pop返回地址
    
83.         UCHAR uJmpHook[5] = { 0xE9, 0x00, 0x00, 0x00, 0x00 };
    
84.         *(PULONG)(uJmpHook + 1) = (ULONG)HookedIoAllocateMdl - uIoAllcateMdlAddr - 5;
    
85. 
    
86.         ErasePageProtect();
    
87.         RtlCopyMemory((PVOID)uIoAllcateMdlAddr, uJmpHook, 5);
    
88.         RenewPageProtect();
    
89.         KeLowerIrql(irql);
    
90. }

复制代码

这鬼东西是WeGame的登录断点 下硬件断点让他执行就行
Single step exception - code 80000004 (first chance)
First chance exceptions are reported before any exception handling.
This exception may be expected and handled.
3: kd> r
eax=00000003 ebx=00000000 ecx=00000001 edx=0000004d esi=0012eba8 edi=00000000
eip=65a3d2bf esp=0012e7f4 ebp=0012eb14 iopl=0         nv up ei pl zr na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000246
ba r1 65a3d2bf
g
bc *
代码嘛 抄抄改改就完事了 网上一堆

抄抄改改就完事了 网上一堆