[原创]商业dwm绘制取巧分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]商业dwm绘制取巧分析

发表于: 2021-1-5 21:27 32224

[原创]商业dwm绘制取巧分析

qqzxc

2021-1-5 21:27

32224

得到一个绘制的例子和一个易语言模块，首先把模块拖进某软件XXYY，于是得到了模块源码。

观察下图
图片描述

不难发现这里加载了一个dll到自身。然后把导出函数地址给全局变量。

重点：仔细观察第一个红框。他对一个资源文件进行了解密。所以我们只要在他解密后将他的dll文件取出来。那么只需要一行代码。

编译运行，这样我们就取到了dll

用工具查看dll的导出函数

图片描述
将dll拖进od，跳转到InstallDWM函数。

图片描述
看到这个我想丢进回收站！！！！

这条路走不通，呜呜呜，我太菜了。

思考一手。突然灵机一动。众所周知dwm绘制，那么绘制流程一定是在dwm里的。但是绘制的逻辑在刚才的绘制例子.e里看到了。所以嘿嘿，他们之间一定存在某种py交易。
图片描述

但是里面全是vm，我又不想去分析他们怎么py的。所以我盲猜跨进程大概可能应该用了WriteProcessMemory.

我直接一个驱动起步，把NtWriteVirtualMemory给他hook了

然后dbgview一开，驱动一加载，然后再绘制例子里填上Py来的测试码。

驱动加载前，必备shark，感谢飞总，让我这彩笔也能在win10上玩hook。

当开启绘制后，可以从上面的e语言例子看到，是在线程里不断绘制。

而我的dbgview也不断输出信息

被写的进程肯定就是dwm.exe了。从上面的信息可以观察出，主要就两个内容。一个是写好多好多东西，我猜测是绘制的内容。另一个地址是不会变的，所以我们可以用ce打开dwm.exe观察一下。

通过观察他的值在0 1 2三个值不停变动。所以我判断这是一个标志位，判断这个标志位做对应的操作（我猜的）。

所以只要找出访问他的地方就能得知他的绘制位置。

图片描述
到了一个无模块的地址，这里就是绘制的位置了。然后我们再来看看他是怎么hook的。找到首地址，想办法返回到上一层。

263K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6A6i4K6u0W2L8r3!0D9K9g2)9J5k6h3&6W2N6q4)9J5c8U0t1H3x3U0q4Q4x3V1j5H3x3g2)9J5c8U0l9#2i4K6u0r3d9#2m8@1d9f1I4B7K9o6c8K6P5i4N6V1f1K6y4s2i4K6u0W2M7r3&6Y4
通过红色箭头调用到无模块地址的。但是这个call会进入一个ntdll模块里的LdrpDispatchUserCallTarget函数里。我百度了一圈，不思其解。后来看了一眼汇编。搜嘎。他里面会jmp rax。所以他应该是改了rax。追一下，rax来源[rax+0x148],后面的操作我就不说了

从上图可以看到某个对象里的函数指针被改成了他的绘制地址，从而达到hook的目的。

PS：这个不算分析的分析，希望大家不要喷我，能力有限，不能硬怼vm，只能取巧了。

我是科锐110期学员，希望大家多多关照。

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2022-1-4 15:27 被kanxue编辑，原因：

#调试逆向

收藏・28

免费・6

支持

最新回复 (35) 1 2 ▶
L0x1c 雪币： 1005 活跃值： (5491) 能力值： ( LV12，RANK：312 ) 在线值：发帖 15 回帖 48 粉丝 126 关注私信	L0x1c 3 2 楼龟哥无敌！呜呜呜！站楼 2021-1-5 21:46 0
如斯咩咩咩雪币： 4709 活跃值： (1685) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 154 粉丝 8 关注私信	如斯咩咩咩 3 楼好哥哥开始搞了 2021-1-5 21:49 0
黑洛雪币： 6129 活跃值： (4971) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 80 关注私信	黑洛 1 4 楼 dwm绘制本身不涉及驱动，驱动主要是为了注入dll/shellcode用的。绘制用的dll/shellcode大致做了下面的操作：定位SwapChain hook Present dwm.exe是所有窗口的顶级窗口，除了无法使用窗口消息，其余的和一般的d3d进程没有大区别。下面附部分代码：以上代码是我之前写的dwm绘制的部分代码。由于不支持窗口消息，导致我还要再起一个进程去做映射，中间还要通讯，我就放弃了，换了其他方案。 2021-1-5 23:49 1
鸭子咯咯哒雪币： 1041 活跃值： (733) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 117 粉丝 1 关注私信	鸭子咯咯哒 5 楼楼主这些东西可以在哪儿学到 2021-1-6 08:05 0
qqzxc 雪币： 3837 活跃值： (5101) 能力值： ( LV3，RANK：37 ) 在线值：发帖 11 回帖 68 粉丝 53 关注私信	qqzxc 6 楼黑洛 dwm绘制本身不涉及驱动，驱动主要是为了注入dll/shellcode用的。绘制用的dll/shellcode大致做了下面的操作：定位SwapChainhook Presentdwm.exe是所有窗口 ... tql。呜呜呜，带带我 2021-1-6 08:47 0
qqzxc 雪币： 3837 活跃值： (5101) 能力值： ( LV3，RANK：37 ) 在线值：发帖 11 回帖 68 粉丝 53 关注私信	qqzxc 7 楼鸭子咯咯哒楼主这些东西可以在哪儿学到看楼上，舔大佬 2021-1-6 08:47 0
mllaopang 雪币： 355 活跃值： (495) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 1 关注私信	mllaopang 8 楼感谢分享，，，，， 2021-1-6 08:55 0
还我六千雪币雪币： 889 活跃值： (4117) 能力值： ( LV6，RANK：98 ) 在线值：发帖 21 回帖 146 粉丝 28 关注私信	还我六千雪币 9 楼龟哥无敌 2021-1-6 10:59 0
冷风in 雪币： 211 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 10 粉丝 0 关注私信	冷风in 10 楼想舔个下载地址，研究 2021-1-6 11:00 0
qqzxc 雪币： 3837 活跃值： (5101) 能力值： ( LV3，RANK：37 ) 在线值：发帖 11 回帖 68 粉丝 53 关注私信	qqzxc 11 楼冷风in 想舔个下载地址，研究 029K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6K9r3q4J5k6g2)9J5k6i4N6W2K9i4W2#2L8W2)9J5k6h3y4G2L8g2)9J5c8V1@1H3M7U0f1H3k6s2t1K6 2021-1-6 11:11 0
冷风in 雪币： 211 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 10 粉丝 0 关注私信	冷风in 12 楼谢谢 2021-1-6 11:54 0
哎哟哥哥^ 雪币： 0 活跃值： (376) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 1 关注私信	哎哟哥哥^ 13 楼不知道有没有开源项目 2021-1-6 13:23 0
杰克王雪币： 183 活跃值： (2482) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 64 粉丝 56 关注私信	杰克王 14 楼龟哥无敌！呜呜呜！站楼 2021-1-7 00:30 0
黑洛雪币： 6129 活跃值： (4971) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 80 关注私信	黑洛 1 15 楼 qqzxc tql。呜呜呜，带带我我不是大佬，只是dwm我刚好弄过而已 2021-1-7 02:42 0
tomtory 雪币： 11974 活跃值： (3914) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 150 粉丝 1 关注私信	tomtory 16 楼图好像挂了 2021-1-7 09:22 0
qqzxc 雪币： 3837 活跃值： (5101) 能力值： ( LV3，RANK：37 ) 在线值：发帖 11 回帖 68 粉丝 53 关注私信	qqzxc 17 楼 tomtory 图好像挂了奥，我清了下缓存，打开也看不到图片，多刷新几下就出来了 2021-1-7 09:28 0
aresmar 雪币： 168 活跃值： (185) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	aresmar 18 楼有没有交流裙 2021-1-7 09:54 0
丿一叶知秋雪币： 919 活跃值： (1340) 能力值： ( LV2，RANK：15 ) 在线值：发帖 6 回帖 51 粉丝 2 关注私信	丿一叶知秋 19 楼貌似是低版本的VM。高版本都是 Push 和 Jmp 做入口特征？？？ 2021-1-7 10:06 0
qqzxc 雪币： 3837 活跃值： (5101) 能力值： ( LV3，RANK：37 ) 在线值：发帖 11 回帖 68 粉丝 53 关注私信	qqzxc 20 楼丿一叶知秋貌似是低版本的VM。高版本都是 Push 和 Jmp 做入口特征？？？大佬说是vmp3.x 2021-1-7 11:16 0
lhxdiao 雪币： 2090 活跃值： (3948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 184 粉丝 117 关注私信	lhxdiao 21 楼这种东西表示可以随手做一个出来，但是楼主分析vmp是真的强。另看完讨论，提示一下那个驱动其实跟主要逻辑分离的，用处是绕过一些钩子实现内存注入。 2021-1-8 19:45 0
yangya 雪币： 58 活跃值： (1345) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 318 粉丝 1 关注私信	yangya 22 楼 LdrpDispatchUserCallTarget是开了CFG 2021-1-8 21:33 0
章鱼C 雪币： 187 活跃值： (2679) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 94 粉丝 121 关注私信	章鱼C 23 楼类似的方式很久以前就有了 4d7K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2#2L8X3E0F1L8%4N6F1j5$3S2W2j5i4c8K6i4K6u0W2L8h3g2Q4x3V1k6X3L8%4u0#2L8g2)9J5c8X3N6W2L8X3g2J5j5h3I4Q4x3X3c8H3M7X3!0Y4M7X3q4E0L8h3W2F1k6#2)9J5k6r3q4F1k6q4)9J5k6s2u0W2N6X3g2J5M7$3W2F1k6#2)9J5c8U0x3%4y4K6p5%4z5g2)9J5k6s2g2K6K9h3&6Y4i4K6u0V1k6s2N6E0i4K6u0V1M7X3g2S2L8r3W2*7k6g2)9J5k6r3c8J5j5i4N6A6L8X3N6Q4x3X3c8W2L8X3N6A6L8X3g2Q4x3X3g2Z5N6r3#2D9 dwm绘制其实没什么特殊的无非是不需要创建窗口只要能加载驱动连进程都不需要了给谁绘制都是自己说了算关键是如何拒绝dwm融合或者说绕过dwm融合这才是最难的地方我最近挖了半个月从r3一路快挖到硬件层也没挖出来什么东西最后于 2021-1-11 05:47 被章鱼C编辑，原因： 2021-1-11 05:44 0
cralsen 雪币： 219 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	cralsen 24 楼章鱼C 类似的方式很久以前就有了 591K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2#2L8X3E0F1L8%4N6F1j5$3S2W2j5i4c8K6i4K6u0W2L8h3g2Q4x3V1k6X3L8%4u0#2L8g2)9J5c8X3N6W2L8X3g2J5j5h3I4Q4x3X3c8H3M7X3!0Y4M7X3q4E0L8h3W2F1k6#2)9J5k6r3q4F1k6q4)9J5k6s2u0W2N6X3g2J5M7$3W2F1k6#2)9J5c8U0x3%4y4K6p5%4z5g2)9J5k6s2g2K6 ... 拒绝dwm融合啥意思？ 2021-1-12 14:52 0
qdjytony 雪币： 677 活跃值： (1081) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 86 粉丝 3 关注私信	qdjytony 25 楼阿龟上道了 2021-1-13 02:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

qqzxc

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (35) 1 2 ▶
L0x1c 雪币： 1005 活跃值： (5491) 能力值： ( LV12，RANK：312 ) 在线值：发帖 15 回帖 48 粉丝 126 关注私信	L0x1c 3 2 楼龟哥无敌！呜呜呜！站楼 2021-1-5 21:46 0
如斯咩咩咩雪币： 4709 活跃值： (1685) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 154 粉丝 8 关注私信	如斯咩咩咩 3 楼好哥哥开始搞了 2021-1-5 21:49 0
黑洛雪币： 6129 活跃值： (4971) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 80 关注私信	黑洛 1 4 楼 dwm绘制本身不涉及驱动，驱动主要是为了注入dll/shellcode用的。绘制用的dll/shellcode大致做了下面的操作：定位SwapChain hook Present dwm.exe是所有窗口的顶级窗口，除了无法使用窗口消息，其余的和一般的d3d进程没有大区别。下面附部分代码：以上代码是我之前写的dwm绘制的部分代码。由于不支持窗口消息，导致我还要再起一个进程去做映射，中间还要通讯，我就放弃了，换了其他方案。 2021-1-5 23:49 1
鸭子咯咯哒雪币： 1041 活跃值： (733) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 117 粉丝 1 关注私信	鸭子咯咯哒 5 楼楼主这些东西可以在哪儿学到 2021-1-6 08:05 0
qqzxc 雪币： 3837 活跃值： (5101) 能力值： ( LV3，RANK：37 ) 在线值：发帖 11 回帖 68 粉丝 53 关注私信	qqzxc 6 楼黑洛 dwm绘制本身不涉及驱动，驱动主要是为了注入dll/shellcode用的。绘制用的dll/shellcode大致做了下面的操作：定位SwapChainhook Presentdwm.exe是所有窗口 ... tql。呜呜呜，带带我 2021-1-6 08:47 0
qqzxc 雪币： 3837 活跃值： (5101) 能力值： ( LV3，RANK：37 ) 在线值：发帖 11 回帖 68 粉丝 53 关注私信	qqzxc 7 楼鸭子咯咯哒楼主这些东西可以在哪儿学到看楼上，舔大佬 2021-1-6 08:47 0
mllaopang 雪币： 355 活跃值： (495) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 1 关注私信	mllaopang 8 楼感谢分享，，，，， 2021-1-6 08:55 0
还我六千雪币雪币： 889 活跃值： (4117) 能力值： ( LV6，RANK：98 ) 在线值：发帖 21 回帖 146 粉丝 28 关注私信	还我六千雪币 9 楼龟哥无敌 2021-1-6 10:59 0
冷风in 雪币： 211 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 10 粉丝 0 关注私信	冷风in 10 楼想舔个下载地址，研究 2021-1-6 11:00 0
qqzxc 雪币： 3837 活跃值： (5101) 能力值： ( LV3，RANK：37 ) 在线值：发帖 11 回帖 68 粉丝 53 关注私信	qqzxc 11 楼冷风in 想舔个下载地址，研究 029K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6K9r3q4J5k6g2)9J5k6i4N6W2K9i4W2#2L8W2)9J5k6h3y4G2L8g2)9J5c8V1@1H3M7U0f1H3k6s2t1K6 2021-1-6 11:11 0
冷风in 雪币： 211 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 10 粉丝 0 关注私信	冷风in 12 楼谢谢 2021-1-6 11:54 0
哎哟哥哥^ 雪币： 0 活跃值： (376) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 1 关注私信	哎哟哥哥^ 13 楼不知道有没有开源项目 2021-1-6 13:23 0
杰克王雪币： 183 活跃值： (2482) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 64 粉丝 56 关注私信	杰克王 14 楼龟哥无敌！呜呜呜！站楼 2021-1-7 00:30 0
黑洛雪币： 6129 活跃值： (4971) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 80 关注私信	黑洛 1 15 楼 qqzxc tql。呜呜呜，带带我我不是大佬，只是dwm我刚好弄过而已 2021-1-7 02:42 0
tomtory 雪币： 11974 活跃值： (3914) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 150 粉丝 1 关注私信	tomtory 16 楼图好像挂了 2021-1-7 09:22 0
qqzxc 雪币： 3837 活跃值： (5101) 能力值： ( LV3，RANK：37 ) 在线值：发帖 11 回帖 68 粉丝 53 关注私信	qqzxc 17 楼 tomtory 图好像挂了奥，我清了下缓存，打开也看不到图片，多刷新几下就出来了 2021-1-7 09:28 0
aresmar 雪币： 168 活跃值： (185) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	aresmar 18 楼有没有交流裙 2021-1-7 09:54 0
丿一叶知秋雪币： 919 活跃值： (1340) 能力值： ( LV2，RANK：15 ) 在线值：发帖 6 回帖 51 粉丝 2 关注私信	丿一叶知秋 19 楼貌似是低版本的VM。高版本都是 Push 和 Jmp 做入口特征？？？ 2021-1-7 10:06 0
qqzxc 雪币： 3837 活跃值： (5101) 能力值： ( LV3，RANK：37 ) 在线值：发帖 11 回帖 68 粉丝 53 关注私信	qqzxc 20 楼丿一叶知秋貌似是低版本的VM。高版本都是 Push 和 Jmp 做入口特征？？？大佬说是vmp3.x 2021-1-7 11:16 0
lhxdiao 雪币： 2090 活跃值： (3948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 184 粉丝 117 关注私信	lhxdiao 21 楼这种东西表示可以随手做一个出来，但是楼主分析vmp是真的强。另看完讨论，提示一下那个驱动其实跟主要逻辑分离的，用处是绕过一些钩子实现内存注入。 2021-1-8 19:45 0
yangya 雪币： 58 活跃值： (1345) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 318 粉丝 1 关注私信	yangya 22 楼 LdrpDispatchUserCallTarget是开了CFG 2021-1-8 21:33 0
章鱼C 雪币： 187 活跃值： (2679) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 94 粉丝 121 关注私信	章鱼C 23 楼类似的方式很久以前就有了 4d7K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2#2L8X3E0F1L8%4N6F1j5$3S2W2j5i4c8K6i4K6u0W2L8h3g2Q4x3V1k6X3L8%4u0#2L8g2)9J5c8X3N6W2L8X3g2J5j5h3I4Q4x3X3c8H3M7X3!0Y4M7X3q4E0L8h3W2F1k6#2)9J5k6r3q4F1k6q4)9J5k6s2u0W2N6X3g2J5M7$3W2F1k6#2)9J5c8U0x3%4y4K6p5%4z5g2)9J5k6s2g2K6K9h3&6Y4i4K6u0V1k6s2N6E0i4K6u0V1M7X3g2S2L8r3W2*7k6g2)9J5k6r3c8J5j5i4N6A6L8X3N6Q4x3X3c8W2L8X3N6A6L8X3g2Q4x3X3g2Z5N6r3#2D9 dwm绘制其实没什么特殊的无非是不需要创建窗口只要能加载驱动连进程都不需要了给谁绘制都是自己说了算关键是如何拒绝dwm融合或者说绕过dwm融合这才是最难的地方我最近挖了半个月从r3一路快挖到硬件层也没挖出来什么东西最后于 2021-1-11 05:47 被章鱼C编辑，原因： 2021-1-11 05:44 0
cralsen 雪币： 219 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	cralsen 24 楼章鱼C 类似的方式很久以前就有了 591K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2#2L8X3E0F1L8%4N6F1j5$3S2W2j5i4c8K6i4K6u0W2L8h3g2Q4x3V1k6X3L8%4u0#2L8g2)9J5c8X3N6W2L8X3g2J5j5h3I4Q4x3X3c8H3M7X3!0Y4M7X3q4E0L8h3W2F1k6#2)9J5k6r3q4F1k6q4)9J5k6s2u0W2N6X3g2J5M7$3W2F1k6#2)9J5c8U0x3%4y4K6p5%4z5g2)9J5k6s2g2K6 ... 拒绝dwm融合啥意思？ 2021-1-12 14:52 0
qdjytony 雪币： 677 活跃值： (1081) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 86 粉丝 3 关注私信	qdjytony 25 楼阿龟上道了 2021-1-13 02:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复