[ post]DCOO透视原理分析
dcoo其实是一款cs游戏登陆器,其中的dcoo.dll是反作弊动态连接库,包含用户界面,升级界面,反作弊模块。
dcoo.dll由asprotect2.xx加壳,没有使用stolen code的高级加密手段,还是比较好脱壳的。
dcoo.dll内涵的反作弊模块其实也是一个dll,在启动cs后,lava.exe通过CreateRemoteThread将其注入cs进程。这个反作弊模块藏在dcoo.dll的资源块里(同灰鸽子等木马的手段一样 -_-! )
dcoo.dll生成的cs启动名称(xxx.exe)是随机的,但不会生成cstrike.exe和hl.exe(防作弊)而且会检测是否为cstrike.exe或hl.exe(防手动修改)。
据我的分析和猜测,反作弊模块集成了检测作和弊通讯两个手段。
检测作弊就不说了(大量的暗桩和antidebug内容 )。
通讯就是拦截服务器端发送给cs的封包,并取出对应的封包。
如果检测作弊通过,则以收到封包中的信息作为key,对回复信息进行加密(回复的内容无非是check pass之类的)。
如果检测作弊没有通过,同样,以收到封包中的信息作为key对回复信息进行加密(回复的内容是错误代码)。
如果长时间没有恢复,则服务器端进行kick。
大致情况基本上就是这样,希望给有这个爱好朋友带来启发[/post]
