吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 16912|回复: 72
上一主题 下一主题
收起左侧

[游戏安全] [搬运]记录我与LOL检测迂回的这半个月: 第一篇

[复制链接]
跳转到指定楼层
楼主
592618243 发表于 2020-8-9 14:17 回帖奖励
本帖最后由 592618243 于 2020-8-9 15:17 编辑

  • 发错版块或如有违规麻烦版主大大删帖。不好意思。
  • 1.稳定注入姿势
  • 2.处理TenRpcs检测CLL
  • 3.处理TCJ
  • 4.探测GameRpcs

笔者最近迷上LOL,中低分段总是有脚本,被虐的很惨

然后笔者去市场上买来几款外挂,配合防封,然后小逆了一下,发现市场上的防封软件大多是通对游戏 LoadLibraryExW 挂钩子,让某些检测模块不加载,在这种情况下,阻断了通讯,这样可以稳定的玩游戏5局左右,之后就会封7天或者三年,如果处理了TenRpcs里的检测CALL(技能释放一类的)就是7天,如果没有处理就是3年,然后经过笔者多处咨询,发现市面上没有能稳超过10把的防封,于是笔者想看看TP到底是什么手段检测的,于是我与LOL迂回了半月之久,废话不多说,进入正题




1.注入姿势:

笔者采用 MDL内存映射形式向游戏进程写入了我的DLLShellCode ,用 NtCreateThreadEx 创建远程线程,游戏未发现,目前这个注入姿势是稳定的


2.处理检测CALL:

笔者在游戏主模块处发现游戏挂了70个钩子指向TenRpcs.dll,不解释,盘他

1
2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48
BOOL RecoveryCode(ULONG32 地址, BYTE* 字节)
{
    BYTE 判断 = { NULL };
    DWORD 基址 = 0x400000;
    DWORD 修改前的页面保护属性 = NULL;

    RtlCopyMemory(&判断, LPVOID(基址 + 地址), 1);

    if (判断 != 0xE8)
    {
        全局变量::当前大区未开放检测数++;
        return FALSE;
    }

    if (VirtualProtect(LPVOID(基址 + 地址), 5, PAGE_EXECUTE_READWRITE, &修改前的页面保护属性))
    {
        RtlCopyMemory(LPVOID(基址 + 地址), 字节, 5);
        if (VirtualProtect(LPVOID(基址 + 地址), 5, PAGE_EXECUTE, &修改前的页面保护属性))
        {
            全局变量::处理检测成功次数++; //std::cout << "√ " << hex << 基址 + 地址 << std::endl;
            return TRUE;
        }
    }

    全局变量::处理检测失败次数++; //std::cout << "X " << hex << GetLastError() << std::endl;

    return FALSE;
}

VOID 处理检测()
{
    LPVOID 内存地址 = NULL;
    DWORD 函数地址 = NULL;
    DWORD 模块句柄 = NULL;
    DWORD 修改前的页面保护属性 = NULL;

    do
    {
        窗口句柄::游戏窗口句柄 = FindWindow("RiotWindowClass", NULL);
    } while (!窗口句柄::游戏窗口句柄);

    ///此处过检测代码由于危害腾讯安全给告知于19.02.05 21:30分删除此部分代码

    string Message = "处理失败 " + to_string(全局变量::处理检测失败次数) + " 个检测点\n成功处理 " + to_string(全局变量::处理检测成功次数) + " 个检测点\n当前大区未开放的检测点有 " + to_string(全局变量::当前大区未开放检测数) + " 个\n\n是否继续游戏???";

    if (MessageBox(窗口句柄::游戏窗口句柄, Message.c_str(), "", MB_ICONQUESTION | MB_YESNO | MB_TOPMOST) != IDYES)
        exit(0);
}


到这里的时候,笔者进行了游戏,发现封三年,于是笔者不开挂,只干检测一样被封三年,说明了什么

对!没错 CRC!不得不过 TP 检测系统的CRC有漏洞,过CRC代码如下,你会惊呆的

1
VirtualProtect(LPVOID(0x401000), 0x1028000, PAGE_EXECUTE, &修改前的页面保护属性)

哈哈,就是这么简单!这个为什么!咱就不多解释了,不是傻瓜都看得懂原理,我直接贴代码通俗易懂!


通过以上小操作后,单挂我自己的防封没有三年了,然后开始下一项工作,TCJ!


TCJ是干嘛的?在这里我科普一下,他会 EnumWindowProc 枚举你所有窗口,OpenProcess ReadFile... 太多了


总是TCJ负责一些外部检测以及内部检测,包括你注入的DLL文件,MD5哈希,窗口标题,类名,PE头,等等 .. 太多了


所以,想要完全达到防封状态,只干掉检测CALL还不行,必须要处理TCJ


于是我模仿了市场外挂 向 LoadLibraryExW 挂钩子,让TCJ在加载列表里消失,游戏不加载TCJ了,进入游戏爽


但是没爽多久5分钟后游戏弹出错误窗口,强制关闭,于是笔者调试跟踪到执行退出函数的点,发现在GameRpcs里,哇,还有这个东西,我都没注意!


于是分析了一下,这个GameRpcs非常不起眼,但是他起到重要的作用,他负责与TCJ和TenRpcs通讯!如果其中有一个模块有异常,他就会强制关闭游戏(本地命令)不是来自服务器的断开链接!而且通过笔者的CE遍历,遍历到了GameRpcs还会收集对局信息,包括当前玩家按下执行右键命令次数,玩家按下技能右键次数,等等信息,大家可以通过CE去搜索增加的值就可以,说到这里,我感觉这个检测系统好强大,收集这些数据是这是要人工分析吗??



笔者后续再写是怎么过的GameRpcs。

免费评分

参与人数 17吾爱币 +14 热心值 +8 收起 理由
聆听心跳 + 1 + 1 用心讨论,共获提升!
i66235 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
小红 + 1 + 1 印象中是看雪的帖子吧,当时还被官方提醒了来着,标题写明显点吧
九天临兵帝 + 1 + 1 谢谢@Thanks!
aaronbroo + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
YiXinPlay + 1 我很赞同!
回到52像回家 + 1 搬运请注意行为!给原作充分尊重!52是和谐家庭
yuelingge + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
iPhone8Plus -2 2019-2-5 21:30 发布的文章 你复制过来是什么意思
Lsygood + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
SRT + 1 鼓励转贴优秀软件安全工具和文档!
稣兰 + 1 + 1 谢谢@Thanks!
LYZ° + 1 这不是csdn早有的文章吗?确定不是抄袭?
LangLang_Ago + 1 我很赞同!
2333saber + 1 谢谢@Thanks!
Ebichu + 1 + 1 我很赞同!
65302666 + 2 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
 楼主| 592618243 发表于 2020-8-9 21:41 |楼主
shenjiyuan2hao 发表于 2020-8-9 21:35
要点B脸行吗,看雪他吗三篇都发完了,你在这装什么孙子,大家可以上网去搜索一下,名字都他M没改,还特么第 ...

标题都不看就开喷?  
推荐
 楼主| 592618243 发表于 2020-8-9 15:03 |楼主
topckey 发表于 2020-8-9 14:54
感谢分享,收集这些数据应该是做判断是否使用非法工具吧?

是的。针对判读(检测)的点跳过或者转向一个空地址
3#
天天涨停天天盈 发表于 2020-8-9 14:45
精神是支持的  结果没啥用  我得到的是信息 你现有的技术 攻不破。
4#
topckey 发表于 2020-8-9 14:54
感谢分享,收集这些数据应该是做判断是否使用非法工具吧?
5#
 楼主| 592618243 发表于 2020-8-9 14:58 |楼主
天天涨停天天盈 发表于 2020-8-9 14:45
精神是支持的  结果没啥用  我得到的是信息 你现有的技术 攻不破。

后续更精彩。
6#
七末 发表于 2020-8-9 15:01
来学习一下
7#
h4njx 发表于 2020-8-9 15:08
等一个后续,与人斗其乐无穷。
8#
jay9188 发表于 2020-8-9 15:14
虽然听不懂,但感觉你狠厉害的样子
9#
闪光皮皮 发表于 2020-8-9 15:22
所以说这是要搞LOL了?
10#
大萌的微信 发表于 2020-8-9 15:23
然而,那些所谓的月卡,一个月卖2000的那种,还不是照样死
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-21 21:25

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表