《街頭霸王5》借助次時代的強大機能再次震撼登場,而傳承其硬派格斗作風的同時�,本作也將加入一個全新的系統(tǒng)��,可以讓新人更好的上手,而不是每次都輸給老玩家����。�����。
《街頭霸王》系列作為從小就開始伴隨我們的格斗游戲�,可以說為我們的童年帶來了不小的歡樂,當然作為最早的幾款格斗游戲之一����,本身游戲的內(nèi)容還是經(jīng)得起時間的考驗和玩家的肯定的��,同時街霸的最新作《街頭霸王5》也經(jīng)過了3次的測試之后終于在2月16日正式在ps4和pc上面發(fā)布了正式版,新的格斗浪潮又將到來!
游戲的畫面相對《終極街頭霸王4》來說的確是有著較大的提升�����,絲毫不輸于《終極街頭霸王4》的人物建模效果和酷炫的打斗效果����,游戲中新增的v系統(tǒng)更是讓游戲的顆粒動態(tài)效果表現(xiàn)相當突出,而超強的光影效果和打擊感的確讓這款游戲的格斗充滿了震撼力和沖擊力
說實話這款游戲的配置要求真的很高,就連最低配置都需要480才能帶動���,但是在最低配置下的游戲畫面簡直慘不忍睹,甚至可以說就是一坨屎,而這款游戲的真正的游戲體驗確是在最高特效下才能完美的展現(xiàn)出來��,所以說先要體驗到極致的游戲體驗的話就一定要最高配置才行����,但是這款游戲的最高配置卻需要相當高的電腦要求,真的無法想象在《終極街頭霸王4》中完美運行的配置卻無法體驗較高游戲畫面的《街頭霸王5》
同時游戲的優(yōu)化也很爛�,哪怕是最低特效的游戲都會出現(xiàn)很明顯的卡頓�����,讓人很不適應,并且會時不時出現(xiàn)慢動作���,真的很影響游戲的體驗
在新版本當中,游戲新增了一個新的戰(zhàn)斗系統(tǒng)——v系統(tǒng)���,這個操作模式需要玩家積累新出現(xiàn)的紅色virigger槽才行�,當這個紅色槽達到滿值之后即可使用v系統(tǒng)技能,v系統(tǒng)的技能都會伴隨著不一樣的效果以達到更大的格斗效果
游戲中的角色依然如同街霸系列的傳統(tǒng)一樣�����,有著16個可選的角色,而除了12個原有角色以外,還有4個新角色加入到街霸的大家庭中�����,分別是內(nèi)卡利(NECALLI)��,勞拉(LAURA)���,方(F.A.N.G)�����,拉希德 (RASHID)
在游戲中有三種模式可以選擇:故事模式,求生模式���,挑戰(zhàn)模式,在每種模式中玩家都可以解鎖新的游戲內(nèi)容�����,在故事模式中玩家可以體驗每一個角色的相關故事�����,同時還能解鎖相應故事的皮膚裝扮���,但解鎖之后的服裝卻需要花費游戲貨幣到游戲商店中購買
而求生模式中����,玩家需要對抗的就是電腦的車輪戰(zhàn)�����,玩家的生命值和EX條會繼承到下一場比賽當中,每次獲勝都能得到分數(shù)���,而消耗分數(shù)可以用來購買特殊能力強化,通關求生模式可以解鎖游戲角色的服裝新顏色和玩家稱號��,同時當玩家選擇分數(shù)獎勵能力強化的時候還會出現(xiàn)懲罰��,讓對決更加艱難��,而挑戰(zhàn)模式也僅僅只有官方的消息并沒有解鎖,有4種挑戰(zhàn)模式可以選擇�,分別是戰(zhàn)斗提示����,試煉����,目標和額外戰(zhàn)斗
游戲的要素相較于前作而言,改變還是相當大的���,首先是個別人物的建模,這里不得不吐槽一下春麗的大腿簡直粗的難以置信�����,而游戲的操作系統(tǒng)����,由于v系統(tǒng)的加入,玩家還需要很長的時間去適應這款游戲的操作手感�����,人物的出招也相對好觸發(fā)�,連招則需要更好的把握才行�����,同時游戲也吸取了4代的失敗����,不再將游戲的新內(nèi)容以升級檔賣出,而選擇以線上模式的方式使用線上貨幣消費來解鎖���,來留住更多的玩家
不過由于游戲剛發(fā)售許多地方都需要完善,包括很多模式都沒有解鎖��,商城也要等到3月份的時候才能進入�����,同時包括服裝和角色都遠遠不能和《終極街霸4》媲美�����,并且游戲還有著閃退和服務器連接等問題,如果你不是非常熱衷于格斗游戲或者對街霸系列非常熱愛的話�,那么還是等卡婊將這款游戲的功能以及游戲內(nèi)容豐富之后在選擇購買吧
以制作動作游戲聞名世界的Capcom最近曝出烏龍事件�。在Capcom出品的《街頭霸王5》一次更新中�,它內(nèi)置了一個用來防止玩家作弊的驅動程序Capcom.sys,然而這個反作弊驅動卻闖了大禍���,剛發(fā)布不久就被曝光其實是一個高度危險的后門,它可以幫助任意程序獲得系統(tǒng)內(nèi)核權限����,當然也會被木馬病毒輕易利用��,比如繞過沙箱����、破壞殺毒軟件、HIPS等防護產(chǎn)品,完全瓦解系統(tǒng)安全體系��。
Capcom中文名為卡普空株式會社����,代表性游戲有《生化危機》、《街頭霸王》��、《鬼泣》等�,可以說很多70后、80后玩家都是玩著Capcom的游戲長大的���。然而此次《街頭霸王5》的后門事件卻讓Capcom陷入窘境,為此專門致歉并發(fā)布了升級補丁���。這里我們建議相關游戲用戶盡快升級補丁,同時提醒各大安全廠商注意����,盡快針對存在后門的Capcom.sys版本進行防御����。根據(jù)測試����,目前國內(nèi)外仍有大量殺毒軟件可以被惡意程序利用Capcom后門輕松擊潰。
以下我們將對Capcom.sys進行深入分析,揭秘該驅動后門對系統(tǒng)安全造成的巨大隱患����。
0x1 逆向分析Capcom.sys
Capcom.sys所做的就是關閉操作系統(tǒng)的安全機制并提升自己游戲為管理員權限����,目的在于能夠對系統(tǒng)上所有的文件進行操作��。它預留了接口讓應用層的程序(游戲)調用,來實現(xiàn)一些更高級�����、更自由的操作�,比如防止游戲內(nèi)存修改,驗證正版用戶等。接下來我們開始逆向分析 Capcom.sys����,看看此神奇的驅動到底做了什么����。�。���。
最關鍵的函數(shù)有如下5個:
1:關閉SMEP(Supervisor Mode Execution Protection)
那么啥是SMEP呢���?SMEP全稱是Supervisor Mode Execution Protection���。監(jiān)管模式執(zhí)行保護���。存在與CR4中的第20位處��。
SMEP的引入是Intel考慮到系統(tǒng)安全而新增的機制。我們知道CPU提供了環(huán)權限的機制,也就是我們平常所說的ring0�����,ring3��。當然還有ring1和ring2(甚至ring-1)��。只不過windows操作系統(tǒng)只使用了2個環(huán)(ring0和ring3)�����。環(huán)的產(chǎn)生意味著權限的產(chǎn)生����。不同環(huán)的權限等極也是不同的���,環(huán)的數(shù)字越小���,則權限越高��。SMEP的存在就是為了防止不同環(huán)訪問不同權限的頁面而產(chǎn)生的���。
在未開啟SMEP前��,Supervisor Mode(ring0-2)所對應的page entry屬性可以是user或者Supervisor,也就是說page entry.u/s可以為0����,也可以為1����。User mode(ring-3)所對應的page entry屬性只能是user(page entry.u/s=0)���。
在開啟SMEP后���,Supervisor Mode(ring0-2)所對應的page entry.u/s只能為0��。這也就意味著Supervisor Mode(ring0-2)將無法訪問User mode(ring3)的頁面。
Capcom.sys正是利用了這點�,關閉了SMEP��,使得ring0的模式可以訪問ring3的代碼,這里所指的ring3的代碼也就是合法的shellcode了���。不過這比shellcode更生猛,因為Capcom.sys可以直接訪問ring3的函數(shù)����。
2:開啟SMEP(Supervisor Mode Execution Protection)
3.驅動的IOCtl通信函數(shù)(只取關鍵部分)
我們可以知道�����,當控制碼為0xAA012044時,代表的是32位模式����,當控制碼為0xAA013044時�����,代表的是64位模式�。此驅動樣本為64位�����,所以我們著重研究64位的控制碼0xAA013044即可�����。
4.漏洞利用函數(shù)
我們可以知道,所被調用的函數(shù)類型大致為void(*)(PVOID(*)(PUNICODE_STRING))����。即該函數(shù)的第一個參數(shù)為MmGetSystemRoutineAddress的地址。
在這里有一個非常關鍵的地方����,條件判斷的第一句話����,這里猜想是Capcom為了防止此驅動濫用而設置的暗樁���。所以我們構造shellcode的時候需要特別注意�����。
5.解密Device Name函數(shù)
這里看的有點辣眼睛��,但是我們不需要理他。因為我們可以直接使用WinObj來得知他創(chuàng)建的設備符號鏈接名為:Htsysm72FB。有了此符號鏈接名�����,我們可以使用CreateFile函數(shù)來打開它的驅動設備并且發(fā)送控制碼來利用了��。�����。
至此,逆向分析到此結束,我們來總結一下:Capcom.sys初衷只是為Capcom自家人提供的一種反作弊的插件����,從他的設備名字符串混淆與調用暗樁可以看出����,他并不想讓別人使用它����,但是這并沒有什么用�。從軟件安全角度上去看,此sys沒有加殼是被利用的最致命因素之一�����。攻擊者只需要繞過暗樁���,即可調用它的驅動���。
0x2 利用前的準備工作
基于之前的分析�,我們知道了設備名稱的符號連接為Htsysm72FB,根據(jù)微軟的定義�。我們需要在他前面加上file:///\.\���。然后使用CreateFile函數(shù)來打開他的設備�。
接著開始準備shellcode���。
第一行����,前8個字節(jié)是為了繞過暗樁而加入的,前8個字節(jié)需要填寫利用函數(shù)的入口地址(也就是第二行)。
第二行�,實現(xiàn)的是CALL $+8處 等價于push第三行(利用函數(shù)的地址) && Rip=第四行(POP RAX)
第三行�,為我們需要填寫的利用函數(shù)地址���。
最后一行,跳向我們的利用函數(shù)地址處。
在該模板內(nèi)填寫相應的內(nèi)容即可。
最后���,開始向Capcom.sys發(fā)送控制碼來利用此驅動。值得注意的是0xAA013044為64位模式,0xAA012044為32位模式����。需要傳遞的shellcode為之前的模板+8處,以此來繞過暗樁����。
0x3 基于Capcom.sys實現(xiàn)無簽名加載驅動
無簽名加載驅動的話題已經(jīng)很老套了����。
具體分析請參考j00ru的“A quick insight into the Driver Signature Enforcement“這篇文章
以及MJ0011的這篇pdf
http://www.powerofcommunity.net/poc2012/mj0011.pdf
結合兩位大牛的文章��,我們知道在WIN7上���,可以通過修改nt!g_CiEnabled為0來繞過��,目的是讓操作系統(tǒng)以為你在WINPE模式中。在WIN8及以上此驗證轉移到了ci!g_CiOptions上?����,F(xiàn)在我們在WIN10 14393上做這個實驗����,驗證同樣在ci!g_CiOptions。但是不同與WIN8的是��,WIN10 已經(jīng)把ci!g_CiOptions加入到了PatchGuard的豪華套餐中���。倘若修改不還原或者修改時機恰巧撞遇PatchGuard的檢測����。那么一瞬間你將進入藍屏的節(jié)奏…關于PatchGuard,讀者可自行搜索相關內(nèi)容����,這里不再展述��。
1.尋找ci!g_CiOptions(Windows\System32\CI.dll)
可以發(fā)現(xiàn)�,該變量存在于CipInitialize 函數(shù)中,但是此函數(shù)未導出��,不過慶幸的是����。CI.dll給我們導出了CiInitialize函數(shù),改函數(shù)最后會調用CipInitialize。
那么我們的思路很簡單��,首先獲取導出函數(shù)地址CiInitialize�,根據(jù)它找到CipInitialize函數(shù),最后根據(jù)CipInitialize找到g_CiOptions,然后修改為8即可(由于在WIN10 14393版本上進入測試簽名模式時�,該值為8)�。當然得先保存一份之前的數(shù)值����,便于還原。
2.注意要點
a.IRQL(中斷請求等極)
還記得sys的調用函數(shù)嗎,它的形式如下:
關閉中斷->調用Ring3利用函數(shù)->開啟中斷�����。
我們注意到���,再執(zhí)行我們的利用函數(shù)的過程中�,中斷始終是處于關閉的狀態(tài),也就是說我們的IRQL(中斷請求等極)一直處于Dispatch級別���,而大多數(shù)內(nèi)核函數(shù)調用的要求是IRQL==PASSIVE_LEVEL。這就會造成概率性藍屏��。所以我們必須在我們的利用函數(shù)頭尾處加入_enable和_disable�����,來手動的配合它的流程���,這樣我們就可以避免IRQL的問題了���。
b.禁用KeStackAttachProcess(CR3切換)
由于該函數(shù)會切換CR3(頁目錄表基址)���。并且最終返回到當前進程的CR3�。而我們當前是在Ring0模式��。所以顯示會發(fā)生奇妙的藍屏��。。。
c.利用函數(shù)盡量簡短
因為在WIN10 14393版本上����,經(jīng)過測試SMEP已被加入PatchGuard豪華套餐中�。所以需要盡快的將SMEP恢復�����,這也就意味著我們的利用函數(shù)需要盡量的簡短���。當然了��,時運不濟的話,可能就在那一瞬間就被檢測到了。
d.配合動態(tài)PatchGuard
一般而言,做到以上3點,加載/卸載驅動1-5次之間的藍屏幾率是很小的����。但是如果需要完美的話��,那就要動態(tài)的干PatchGuard了。我們知道,在WIN7以及WIN8已經(jīng)有牛實現(xiàn)了動態(tài)干PatchGuard并已放出,但是在WIN10上目前并沒有公開放出源代碼�。不過國內(nèi)已經(jīng)有研究者實現(xiàn)了這一攻擊效果����。
0x4 題外話
對于在微軟新簽名機制(具體請使用搜索引擎搜索)下有簽名的朋友來說����,這并沒有什么用�。但是如果被壞人利用了,那就比較尷尬了����。因為此驅動有合法簽名���,大多數(shù)殺毒軟件還沒有對其攔截����,而當壞人進入內(nèi)核后���,那就可以想干啥就干啥了�。
0x5 對各大安全廠商的建議
由于Capcom公司目前已經(jīng)道歉,并承諾不再使用此類手段的情況來看���。安全廠商完全可以把該Capcom.sys列入黑名單中,以此徹底絕殺針對該后門的一切利用�����。
