Начинающий
Начинающий
- Статус
- Оффлайн
- Регистрация
- 13 Фев 2026
- Сообщения
- 180
- Реакции
- 5
Народ, кто сейчас ковыряет обходы на одиннадцатой винде, зацените тему. Наткнулся на интересный подход по взаимодействию между UM и KM через хук в win32k.sys.
Суть в том, что автор реализовал хук на NtUserGetPointerProprietaryId в секции .data, что позволяет прокидывать управление без лишнего шума. Исходник представляет собой базу для собственного драйвера.
Техническая часть:
Пока что это голый PoC: умеет только в дамми-аттач и принудительный BugCheck для тестов. В планах у разрабов запилить нормальный R/W физической памяти и уйти от хардкода оффсетов к динамическому резолвингу сисколлов.
Что по фактам:
Для тех, кто пишет свои лоадеры или экстерналы под античиты с жестким мониторингом системных вызовов — это маст-хэв для изучения. Конечно, под современные защиты типа Vanguard или BattlEye придется допиливать нормальную маскировку (свой FW), но база для связи UM-KM тут вполне достойная.
Сурсы и билды:
Кто уже пробовал прокидывать сигнатуры через win32k на 24H2+, отпишитесь, не ловит ли система BSOD при попытке дебага? Братва, делитесь опытом, кто собирается допиливать под чтение/запись памяти, какие методы защиты хуков планируете использовать?
Суть в том, что автор реализовал хук на NtUserGetPointerProprietaryId в секции .data, что позволяет прокидывать управление без лишнего шума. Исходник представляет собой базу для собственного драйвера.
Техническая часть:
- Механика: Хук системного вызова через таблицу win32k.sys.
- Коммуникация: Юзермод-часть написана на чистом C/C++, что дает неплохой профит по скорости в сравнении с оверхедом того же питона.
- Динамика: Для работы с ntoskrnl и win32k используется KernelCloak от Helzsky, что упрощает динамический импорт рутин без палева на статику.
Пока что это голый PoC: умеет только в дамми-аттач и принудительный BugCheck для тестов. В планах у разрабов запилить нормальный R/W физической памяти и уйти от хардкода оффсетов к динамическому резолвингу сисколлов.
Что по фактам:
Для тех, кто пишет свои лоадеры или экстерналы под античиты с жестким мониторингом системных вызовов — это маст-хэв для изучения. Конечно, под современные защиты типа Vanguard или BattlEye придется допиливать нормальную маскировку (свой FW), но база для связи UM-KM тут вполне достойная.
Сурсы и билды:
Код:
// Основная концепция коммуникации завязана на передаче управления через хукнутый указатель.
// В текущем виде требует подгонки под актуальные билды win32k.
Пожалуйста, авторизуйтесь для просмотра ссылки.
Кто уже пробовал прокидывать сигнатуры через win32k на 24H2+, отпишитесь, не ловит ли система BSOD при попытке дебага? Братва, делитесь опытом, кто собирается допиливать под чтение/запись памяти, какие методы защиты хуков планируете использовать?
