Cow注入器-滥用COW机制进行全局hook与注入

1 启动时无驱动程序运行
2 没有线程创建时注入作弊游戏
3. 当我们完成注入时，内存中没有私有标志
它将最小化内部检测的检测向量

0x1 背景

关于COW:

系统中存在一个叫做cow的机制 国外大神@can1357的perfect injecter帖子说的很清楚了:

CoW是操作系统用来节省内存的一种技术，它使进程共享某些物理内存区域，直到它们真正被编辑。
我们知道这一点ntdll.dll为每个进程加载，并且它的代码（.text）区域很少被修改（如果有的话），那么为什么要为它一次又一次地为数百个进程分配物理内存呢？这正是现代操作系统使用CoW技术的原因。
实现非常简单：
当一个PE文件被映射时，如果它也被映射到其他进程，并且它的VA在当前进程上也是空闲的，那么只需复制PFN并将标志设置为只读。
当由于指令试图在页上写入而发生页错误时，请分配新的物理内存，设置PTE的PFN并删除只读标志。

综上所述：当我们更改了cow标志时，物理内存将比更改应用于全局，直到重新启动系统

关于反作弊如何阻止dll：
大多数反游戏（除了EAC）使用minifilter来过滤游戏加载文件。当一个PE文件被游戏访问时，minifilter回调将被激活, 然后反作弊驱动程序将文件路径和信息反馈给R3 anticheat（EasyAntiCheat.exe以及BEService.exe)R3反作弊会调用CreateFile读取要访问的PE文件并检查签名，如果不是白名单签名，它将被阻止加载.

0x2 实现COW注入器

首先定位cow物理内存:

获取cow模块地址和空间

现在我们有了kernel32.dll、kernelbase.dll、ntdll.dll地址。当我们改变内存时，它将通过cow机制实现全局应用

3. 写shellcode

我写一个简单的createfileW hook,游戏开始时候会调用createfileW,此时我们会loadlibrary我们的dll 之后R3反作弊也会调用createfileW去检查文件数字签名,这个时候我们把createfilew读的文件换成ntdll.dll:你可以看到这里面有一些是 0x1234567812345678 这种无效地址,这种是给接下来定位用的

我不想滥用像perfect inject这样的windows地址限制机制，所以我们需要找到一个可用内存（VAD中需要执行标志），并使用它保存shellcode：

如果一切顺利，我们可以得到一个空闲内存，可以容纳我们的shellcode和cow标志模块地址。
请注意，我尝试将外壳代码直接放入只读地址（因为它更大）并对其进行修改PTE.noexcute=0尝试使页可执行，但是发现没软用。因为似乎即使物理地址相同，PTE属性也不同
现在让我们获取导出函数以满足hook的需要：然后，最重要的是，自己手写hook：
我们需要手写hook，这是非常痛苦的
在win7中kernel32.createfileW是一个函数，但在win10中它是一个jmp origin_to_kernelbase.dll 这个代码困扰了我很长时间，直到我发现两个系统之间的差异。
用一张图片来解释我们要钩什么：

代码:

然后我们将在shellcode中找到地址并传递正确的函数地址（这就是为什么我们需要写 0x123456789地址）：

最后 hook:

总结一下：
0 手写shellcode
1 加载我们的驱动程序
2 获取kernelbase ntdll kernel32地址
3 通过遍历pe头查找导出函数
4 找到一个空间来保存我们的shellcode
5 重新定位shellcode函数地址
6 钩子Kernelbase.CreatefileW文件
7 当游戏开始时，shellcode调用并加载我们的外挂dll，当反作弊调用createfilew时，给出一个假的ntdll路径

"Now they will be afraid of you:"(doom的梗)

地址:https://github.com/huoji120/CowInjecter

注意事项:
可以看出，滥用cow机制不仅可以实现注入，而且具有很大的潜力，包括不局限于绕过硬件禁止，修改签名检查功能，甚至劫持句柄, 你想怎么搞就怎么搞
请注意：
你不能只是复制一个函数作为shellcode，gcc会破shellcode，所以你需要像这样在R3中生成shellcode并把它放到驱动程序中：