드라이버와 유저 모드 통신방법 중 하나인 data ptr hook의 후킹 할 함수를 찾는 법 알아보겠습니다.
게임해킹(안티치트 우회)에 활용됩니다.
후킹 할 함수를 찾는 이유는 알려져 있는(배포된) data hook 은 탐지되기 쉽겠죠?
그래서 자기만의 함수를 찾는 겁니다.
어디서 찾냐면 커널 모듈에서 찾습니다(ntoskrnl.exe, dxgkrnl.sys, win32kbase.sys 등등)
사용할 수 있는 조건은
1. 유저단에서 호출할 수 있는 것
2. 파라미터가 2개 이상 있는 것
3. 8바이트 크기의 파라미터가 있는 것
먼저 IDA를 켜줍니다.
설치가 안돼 있으면 free 버전으로 설치해주세요.
설치방법은 동의하고 설치하면 돼요.
그리고 검색 버튼 클릭
어떤 커널 모듈이냐에 따라 검색 키워드가 다르니 Api, Nt 여러 개 검색해보세요.
저는 win32kbase로 했습니다.
눌러주고 Find all occurrences 체크하고 Api 검색해줍니다.
검색 다되고 뜨는 창에서 Ctrl + F 눌러서 Nt 검색
아무거나 더블클릭하면
이렇게 뜹니다 여기서 F5 누르면
그럼 이렇게 뜹니다.
여기서 또 저 함수 더블클릭하기 전에! 보면 파라미터가 없죠? 다른 함수 찾아야 합니다.
이번엔 이놈으로 위랑 똑같이 이동해줍니다.
다행히 파라미터가 있군요 함수를 더블클릭해줍니다.
복잡하게 생겼지만 "qword_" 또는 "off_"와 같은 .data ptr을 찾으면 됩니다.
qword 가 두 개 정도 있는데 뭐가 호출되는지 마지막 부분을 먼저 보면 됩니다.
저 data ptr을 바꿔주면 내가 만든 드라이버를 찾아가겠죠?
저 함수는 이미 알려진 함수여서 사용할 수 있는 다른 함수를 찾으시는 게 좋습니다.
디스코드 : cpgood#0780
메일 : qmffhrm@protonmail.com
'게임해킹 > 커널 게임 해킹' 카테고리의 다른 글
| [게임해킹] 커널에서 PEB로 베이스주소 가져오는 방법 (0) | 2023.01.01 |
|---|---|
| 안티 치트가 프로세스 핸들을 보호하는 방법 (치트엔진 검색 안 되는 이유) [게임해킹] (0) | 2022.10.08 |
| [게임 해킹] 드라이버 통신방법 text ptr hook 설명 (안티치트 우회) (0) | 2022.07.02 |
| [게임 해킹] 드라이버 통신 방법 data ptr hook 설명 (안티치트 우회) (6) | 2022.06.28 |