然后我就把壳脱了。作者勿怪啊,你的版权我是没一个字改。
附上火眼分析报告一份:
http://fireeye.ijinshan.com/analyse.html?md5=a7a04a9b8cee84080b90556dc501c31e&type=1
一个.zip[点击下载](1432 K) 下载次数:23 累计下载获得 DB 38 刀以知识下为转载:
游戏反外挂的检测功能是分2种的:
第一种是主动出击(主动去执行探测系统中所有进程是否存在这样那样的敏感信息)
第二种是被动防守 (游戏运行后对自身进程的内存,api函数,进行HOOK,让外挂无法窥探读取游戏进程内存信息)
游戏的反外挂主动防御分析介绍:
部分游戏启动运行后会进行取得外挂程序的内存特征,进程名称,外挂标题,以及外挂的窗口类名,外挂向游戏注入DLL的名称,还有外挂对游戏产生的HOOK钩子来判断有关游戏用到的系统DLL是否被修改,
真对以上的分析我得出解决的参考借鉴结论是:
1.游戏以NP注入保护法
游戏的这种反外挂方式就是向我们系统中每个进程插入一个游戏反外挂的DLL
然后它会用这个DLL来判断系统所有进程里面的代码是否危及到游戏进程面对以上的这个检测,解决方法就是让我们的外挂自己向我们自己的外挂安装一个DLLHOOK,使游戏和任何其他程序的DLL无法插入我们的外挂的进程,以让我们自己的外挂得到保护!
2.游戏以标题反外挂 ,
部分游戏会判断每个程序窗口的标题是否附带它规定的敏感关键字眼如果带游戏黑名单的标题文字,它则判断为是外挂窗口,然后提示非法程序!
面对以上的这个检测,解决方法就是改变我们辅助的标题可以使用取现行时间命令
3.游戏以注入保护反外挂
部分游戏会判断DLL文件是哪个外挂向游戏注入的,并且判断施行注入DLL文件的那个程序的进程名称是什么
不过面对这点没必要去修改进程名称,
我们可以使用 函数_进程名变异 命令即可解决,把进程名直接变异伪装成游戏进程名!
4.游戏以窗口类名来反外挂
现在很多游戏的反外挂已经涉及到对外挂的窗口类名进行判断~
例如魔兽就是~只要你的程序窗口类名涉及到他规定的关键字就认为你是外挂,不管你是不是!
这就是大家常见的我并没有开外挂啊怎么游戏账号也被封!
当然对于这种反外挂检测,我们可以用函数_窗口动态类名 或 函数_安装动态类名 把外挂窗口上所有的类名全部每次启动时随即名称来解决!
5.游戏以内存特征反外挂
游戏的反外挂会取得你的外挂内存特征(就像杀毒软件取得病毒关键代码一样),来进行判断电脑中是否运行了外挂程序!
解决这方法很多,比如使用 函数_提升进程权限( ) 提升你的外挂进程权限为最高级别,
使他无法察看你的外挂内存~ 或者加一段花指令代码到你的关键内存特征处使游戏判断失误 等等即可解决....
6.游戏以进程名称反外挂
这个反外挂检测是就很常见了..比如你开起一个名为 "外挂.exe" 那没得说了游戏肯定就封了!
解决方法就是将他改位系统进程名称 svchost.exe 或者瑞星 Rising.exe 其他的也可以~(我就用QQ.exe 哈哈)
因为TX很黄很暴力哈哈 没人敢把QQ的进程名加入反外挂进程名的黑名单!
FS:话说,九妹不会删帖吧?
[ 此帖被天运子在2012-08-31 10:23重新编辑 ]
