HYXD的一些检测与对抗思路
本帖最后由 目山 于 2019-2-22 15:09 编辑自学有一段时间了 一直都是纸上谈兵打算找一个检测不是很强的游戏练练手就是这个荒野废话不多说 0x00:
首先是反调试NtSetInformationThread与 DbgUiRemoteBreakin
NtSetInformationThread 这个好像是荒野的VMP壳加上的反调试这是一个线程相关的API会屏蔽掉指定线程的调试事件一个没有被调试器接管的异常断点 会怎样 当然是崩溃啦我这里使用的是OD插件 SharpOD 过掉的
DbgUiRemoteBreakin这个应该很多人都不陌生 调试器附加后会调用这个API来断下所以基本所有的网络游戏都会HOOK这里荒野是在游戏进入后自己写的HOOK我这里直接把他恢复了 其实很多OD插件也都可以
0x01:
设备封禁!!!! 我这里要说一下他这个弱智的设备封禁
他首先会调用 GetAdaptersInfo GetAdaptersAddresses获取mac和IP再用GetVolumeInformation 获取硬盘序列这个就是所谓的机器码了
他会把这些发往服务器如果! 你新创建了一个号(新的网易账号 没有人物的那种)而且你的设备有很多封号记录那么不管你开没开挂他都会封你号!我发现这个事情的时候我都惊了还有这种操作也没有提示直接就是10分钟内安排你但是当时我也没多想 直接给他这几个API ret了 结果还是封 也就是说它必须有值可以是假的但是不能没有所以我这里给他返回了一个假的结构体 我自己填写的
这只是其中一个还有三个
0x02:
他的检测都干了什么能EnumWindows枚举窗口然后获取你的进程ID打开你的进程使用 GetProcessImageFileName获取你的进程完整路径
还有进程快照窗口查找窗口风格等等。。
检测 : 这几个同一入口点的线程都会运行检测代码而且还包含了主线程没事也会检测一波不像*P
检测是检测游戏是游戏都不在一个模块
既然荒野这样我也只能对API下手了
全部RET!至此荒野对外部的检测算是没有了我开CE OD透明窗口的透视 都不会在封号了
除非你使用一些敏感功能比如穿墙飞天子弹穿墙等等
0x3:
分析了检测 我就开始写自己的 了 我本人不喜欢透明窗口 所以我直接用的 D3DHOOK绘制 数据已经烂大街了我自己翻译成C语言加一点自己的东西而且他内部没有什么检测 我注入DLL什么检测都没有把模块一隐藏透视自瞄一玩玩一天
本文到此结束
还有最后一件事!我需要一名荒野代理 能让我的 卖点小钱我的QQ 270150231谢谢各位看官!
weqweqw qwe qweqw
weqweqw qwe qweqw guycvyxcuivujvivi 支持技术交流贴 大佬大佬我小白一个求教
页:
[1]