热门资讯

免费SSL
- 资源
- 教程
- 工具
- 百科
- 资讯
品牌
- DigiCert
- Symantec
- RapidSSL
- Geotrust
- TrustAsia
- ComodoSSL
- Globalsign
- ThawteSSL
- Let‘s Encrypt

2022腾讯游戏安全初赛一题解析

资讯作者：看雪学院 2022-05-29 23:09:03 阅读：643

本文为看雪论坛优秀文章
看雪论坛作者ID：PlaneJun

运行效果

原程序运行后显示ACE，并且许秒后绘制消失。

原题则要求如下：

详细分析及实现

首先创建了一个名为"avoid repeat open"的互斥体，保证程序的单例执行。

然后开始创建窗口，并初始化D3D设备。

随后开始动态获取ZwAllocateVirtualMemory和ZwFreeVirtualMem的函数地址。

调用ZwAllocateVirtualMemory申请一段可执行内存后，开始将两段shellcode写入。

紧接着可以看到通过调用GetTickCount来判断运行时间是否超过4秒，若超过4秒则清空shellcode，即绘制消失。

shellcode的入口为D3D的一些shader初始化。

动态编译shader完毕后开始执行虚拟机。

简单分析了之后，可知每个分支作用如下：

指令	作用
0	寄存器相加。eg：v1+=v2
1	两数相减。eg：v1-=v2
2	寄存器赋值。eg：v1=v2
3	立即数赋值。eg：v1=999
4	计算key。
5	绘制黄色小方块
6	绘制青色小方块
7	函数返回

由于绘制青色方块正常，黄色方块不正常，故猜测黄色方块数据存在污染。

进一步分析DrawFillRect函数，得知前四个参数中，第一第二个为坐标数据，第三第四个为Key。

并且在捕获绘制青色方块的数据时发现，第三和第四个参数在参与运算时结果始终为0，反之，黄色方块不为0。

将指令集扣下后使用C++进行模拟流程，并输出操作流程。

经过对比，发现黄色方块在计算Decryp之后，将Table[6]与Table[7]的值进行了互换。直接通过判断互换流程将其修改为Table[3] = Table[1]禁止互换。

修改后发现仍然没有绘制黄色小方块，通过代码调试发现绘制时，Table[4]为负数，而Table[4] = (Table[0] – Table[1]) = 0x32 – 0x3E8。

怀疑0x3E8为故意使坐标计算为负数，故将0x3E8修改为0x0后，黄色小方块显示。

同理，第二个黄色方块的由于没有Key互换，但是对0x1F4计算，将0x1F4修改为0，后方块显示。

经过手动修改后，发现存在0x3E8和0x1F4数据对黄色方块的坐标进行污染，将其修改0，并且禁止key互换后，旗帜显示。

以下为C++修复表部分效果。

修复完毕后会自动运行程序后执行修复表操作。

看雪ID：PlaneJun

https://bbs.pediy.com/user-home-826671.htm

*本文由看雪论坛 PlaneJun 原创，转载请注明来自看雪社区

# 往期推荐

5.Android APP漏洞之战—验证码漏洞挖掘详解

6.CTF 中 glibc堆利用及 IO_FILE 总结

球分享

球点赞

球在看

点击“阅读原文”，了解更多！

在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
让资讯触达的更精准有趣：https://www.0xu.cn/

*文章为作者独立观点，不代表 SSLHUB 立场

本文由看雪学院发表，转载此文章须经作者同意，并请附上出处( SSLHUB )及本页链接。

原文链接 https://www.sslhub.cn/freessl/news/1674.html

关注KnowSafe微信公众号
随时掌握互联网精彩