关于DNF检测非法的步骤等相关~~~~~DNF的所谓反外挂检测

社区服务
高级搜索
猴岛论坛DNF地下城与勇士关于DNF检测非法的步骤等相关~~~~~DNF的所谓反外挂检测
发帖 回复
倒序阅读 最近浏览的帖子最近浏览的版块
2个回复

关于DNF检测非法的步骤等相关~~~~~DNF的所谓反外挂检测

楼层直达
15955499

ZxID:5409149

等级: 列兵
举报 只看楼主 使用道具 楼主   发表于: 2009-04-09 0
无聊中来研究一下TX的反WG

用FILEMON跟踪了下DNFCHINA.EXE QQLOGIN.EXE DNF.EXE
发现了几个DD
首先DNFCHINA做的事情是啥?
文件效验
效验文件的大小啥的
效验完毕
开始读取QQlogin.exe
然后就是继续效验
效验完毕后读取dnf.exe
4096字节一读取
一直读取到整个文件结束
然后建立印象文件,也就是dnf.local
把dnf.exe加入启动代码写入dnf.local
换句话,我们玩的就是印象,而不是dnf在内存中的镜象
开始我以为这就是找不到hinst的原因

在一分析,不对啊
貌似还少了点
因为dnf.local也公开起来了
肯定还有其他什么DD

然后查看系统信息,查看事件日志
找到这么个DD
tessafe服务成功发送一个开始控件
这个DD哪里来的哈?
去查查系统管理里的服务项目
没啊

在去查注册表
哦,找到了
在hklm/system/currentset/service/tessafe里
有这么点DD
d*playname    tessafe //这个就是服务名啦
imagepath \??\c:\windows\system32\tessafe.sys  //服务调用地址
start  0x0000003  //自动启动类型的
type  0x0000001  //恩,是驱动类型的

头大ing


我的C盘是NTFS的
想了下
把start改成4  //恩,禁用好了嘛
然后把system32下的tessafe.sys删除,建立一个字节为0的目录,名字改成tessafe.sys,然后加入只读系统属性
然后把访问权限改成禁止任何人运行(包括admin*trators组 和 system)
重新启动

在查下日志,恩,服务没启动
刚想HAPPY下
进游戏看看

?还是被封?还有啥问题呢

在查下日志,MMD,他又开下来了

不过这次路径换成了 e:\dnf\tessafe.sys了

晕,忘记他的校验了

其实只要想办法禁止dnfchina访问注册表就好。。

比如说用普通权限(USERS组)运行啥的
或者说HOOK那些注册表函数
人比较懒,等会说

其实如果不加载成服务的话
啥都能杀
所以这步其实蛮关键的

然后又想了下
用IDA把tessafe.sys反汇编了下
看看这DD到底做虾米的

恩,引入模块有2个:
ntoskrnl.exe和hal.dll

真TMD黑

简单看了下

也就是建立一个列表

服务启动后

所有新建立的进程(也就是你们说的程序啦)
都会在里面做个表

然后HOOK住查找进程的函数
查看有这几类:
查找其他进程句柄的,插int3的(动态调试),调用SOCK函数的
恩,在划分一块内存区域
把这些DD写里面
在把自己卸载了
让你没法查出来
也没法找出内存地址
恩,真黑
中间还加了不少花指令

但这种方法是虾米意思?
编程的都知道
他自己放弃了指针
自己都找不到那块内存地址
这叫离散指针。。。
这块内存在重启前是别想找到了

WINDOWS的内存管理里很明确的说明了这种方法是很危险的

你不知道不受控制的内存里面有啥危险。。

于是蓝屏 100%CPU都发生了。。。

顺便说下。。。DNFchina还检查你的桌面和IE的设置情况。。。然后在发送到TX去
让TX的做统计

没这些数据估计TX也做不到那么大

但这些都是在没告诉你的情况下偷偷进行的

也许那啥用户协议里有

不过估计没几个会看的

说到低,说啥呢

想要干掉这个DD,首先得不让他成为服务

别让他加载

想不死机不蓝屏 把注册表删了重新启动后就别动DNF。。。

或者想办法让他不访问注册表

因为这是他唯一的加载方法

就这么多了

有高手解决这个问题吗???解决掉了,我估计反封也就不远了


大家帮我顶顶吧~~~需要高手支持,别说我灌水~只为高手看见,
自己顶太累了大家帮下吧~如果解决了大家以后就不怕检测了
15955499

ZxID:5409149

等级: 列兵
举报 只看该作者 沙发   发表于: 2009-04-09 0
SF啊
hibluesea

ZxID:3153480

等级: 上士
没G就不升级```哈哈```TX太黑了  ````
举报 只看该作者 板凳   发表于: 2009-04-09 0
ding  xia  ```
本帖最近评分记录:
DB:+50(迷失弦月) 可用
« 返回列表
发帖 回复