由于windows授权限制,云游戏服务器上的windows版本多数为server 2019
部分游戏用到了手柄,调研后基于 https://github.com/nefarius/ViGEmBus 来魔改虚拟出84个手柄
(一个容器只跑一个游戏,一个游戏独立使用4个手柄,一台云游戏服务器预开21个容器,所以理论至少需要能创建84个手柄)
但是实际过程中发现ViGEmBus只能虚拟21个手柄,第22个时候系统就返回失败,
由于是必现且windows没有反调试/代码混淆
所以很快定位到ViGEmBus会调用系统的xusb21.sys,但是xusb21.sys返回了false
ida64加载xusb21.sys,但是不清楚微软的符号服务器为什么没有xusb21.sys的pdb,而xusb22.sys就有,
所以先分析xusb22.sys,如果代码逻辑类似而且能解决的话再把修改移植回xusb21.sys
1 xusb22.sys DriverEntry会申请288字节的内存作为驱动的全局的私有结构体,整个结构体初始化为0
通过函数对DriverGlobals内存的使用,大概分析出结构体的定义
//size 288
struct DriverGlobals{//offet 0int64 unknown0;//offset 8char flag[64];//offset 72XenonBusInformation* bus_info[16];//offset 200GamepadInformation* gamepad_info[4];//offset 232AudioInformation* audio_info[4]//offset 264 66*4ulong unknown1;//offset 268 67*4ulong unknown2;//offset 272 68*4ulong unknown3;//offset 276 69*4ulong unknown4;//offset 280 70*4ulong unknown5;
}
2 通过windbg调试得知 InterfaceDevice::Initialize 返回了false,分析手柄的创建流程
创建一个手柄xusb22.sys需要分配三个设备,每个设备需要占用DriverGlobals中char flag[64]的一个字节,如果没有可用的flag那么函数返回失败。 64//3=21, 所以21个手柄的限制就来自这里
d:\>python
Python 3.11.9 (tags/v3.11.9:de54cf5, Apr 2 2024, 10:12:12) [MSC v.1938 64 bit (AMD64)] on win32
Type "help", "copyright", "credits" or "license" for more information.
>>> 64//3
21
3 知道了问题,接下来就是如何修复了
由于设备驱动同时会以单字节保存在flag的index(为了设备卸载时候重置对应的flag数组)
一个手柄使用3个设备,一个容器使用4个手柄,一共21个容器,0xfc刚好在一个字节范围内, 那么目前也无需修正设备驱动对Index的存储
d:\>python
Python 3.11.9 (tags/v3.11.9:de54cf5, Apr 2 2024, 10:12:12) [MSC v.1938 64 bit (AMD64)] on win32
Type "help", "copyright", "credits" or "license" for more information.
>>> hex(3*4*21)
'0xfc'
首先扩大DriverGlobals结构体的大小 (ida的keypatch插件可直接修改汇编)
然后修正对flag数组的所有访问,原先偏移是8,这里修改成512 (512大于288, 也不会覆盖原始的结构体信息)
以某处为例
原来的指令只有5个字节,不够patch,所以在代码段中寻找缝隙来填充
call cmp完直接ret了,也可以改成jmp然后cmp再jmp回去
所有引用处修改后验证成功,再把xusb22.sys的修改移植回xusb21.sys,同样满足需求
![[学习笔记]后缀数组(Suffix Array)](https://raw.githubusercontent.com/xMinh/xMinh.github.io/master/pic/havana3.png)
