记录一次鹅厂反作弊绕过之利用回调完成异常派遣的提前接收

一研究背景大概半年之前鹅厂反作弊某次更新后偶然发现在调用AddVectoredExceptionHandler注册了一个异常处理函数不到几分钟就封号了，这让我产生了bypass的想法，于是在网上找了找资料还真有了思路。下面给大家介绍具体的原理吧。二实现原理那段时间在网上看到一个非常有意思的尾部挂钩方法：InstrumentationCallback在KPROCESS结构的偏移地址0x2c8处，包含一个名为InstrumentationCallback的域，Windows系统Vista以及之后的版本中，可以使用InstrumentationCallback域来指定回调函数的地址，每次函数从内核态返回用户态之后系统都会调用指定的回调函数。至于原理大致就是以上阐述的，那么了解Windows的异常派遣机制后可以知道每次系统产生异常时会从内核返回到用户层，既然这样那么我们是不是可以通过回调在回用户层的时候先拦截派遣，调用我们的异常处理函数后再 ………………………………