2024鹅厂游戏安全技术竞赛决赛题解-PC客户端

一Loader.sys分析虚拟机系统环境：Windows 10 x64 1909 18363.418调试环境：KDNET network kernel debugging（https://learn.microsoft.com/en-us/windows-hardware/drivers/debugger/setting-up-a-network-debugging-connection）老规矩查壳：很好，什么也看不出来；直接拖IDA看看。导入表有个ExAllocatePoolWithTag，尝试Hook了不过并没有什么卵用，跑起来只会拷贝一个“2024.wo.shi.chu.ti.ren”的字符串上去......直接看Disassembly。一眼VMP，等分析完成后Shift+F12看字符串。“bad array new length”和“vector too long”明显来自stl库，应该是被std::string和std::vector的某个类成员函数所引用的。struct std::string{ char *data; __int64 unknown; __int64 length; __int64 capacity;};跑一下Lumina私服能出一些符号，其中std::string成员函数：挨个xref找访问，std::string::~string和std::string::find_last_of能追到同一个地方。word_140675E20数组逐字与0xACE进行了 ………………………………