好友
阅读权限30
听众
最后登录1970-1-1
|
本帖最后由 untiy 于 2020-12-25 18:53 编辑
原本想分析一个软件,可是那软件居然有驱动保护!!! -> EasyAntiCheat
内核回调抹除权限 + 挂钩重要函数
我是用Cheat Engine、CrySearch、ReClassEx都没有用
于是我就尝试上网查找一下有没有人魔改一下这些工具,直接下载一个下来用得了
可是怎么也找不到,好吧,自己动手丰衣足食,所以我就魔改了一下这三款工具
将它们从普通版升级为了超级版,无视一切应用层+内核层保护,照样分析软件
实现方法就我也Hook相关函数进行操作从而绕过防护软件
先放上我的测试截图开开眼 :
CrySearch获取不到进程信息但是却能查找数据(需要管理员方式运行,报错不管它,直接查找数据就行) 建议VMP加密 + 文件改名
Cheat Engine没显示进程图标也没关系,直接查找内存数据就行,X86 X64版本选错可能查不了数据可要注意了
不能附加调试(VEH可能行),但是可以分析指针引用,你们可以用VMP加密一下和修改一下文件名称,毕竟这是原版Cheat Engine
ReClassEx分析结构体没得说了,还是VMP + 改名就行
这三张图就分别对应那三个我魔改出来的超级工具
火绒报毒的驱动检测(https://habo.qq.com/file/showdetail?pk=ADcGY11sB2UIP1s%2FU2I%3D) :
再看一张图吧(不像易语言教程那样要替换掉防护驱动才能) : 
说明 :
因为要和软件的保护系统对抗,那我必须也要用驱动才行呀,不然根本没戏呀,所以我也用驱动。
但是在Win10系统下,驱动要求有签名才能加载,所以我无奈只能使用一些泄露的证书进行签名。
这些证书一些黑客也再用,我也再用,所以有这个签名的驱动都被火绒认定为病毒,如果你们怕电脑中毒的话可以使用一个影子系统尝试。
因为我现在的需求就是简单查找一下游戏的内存相关,所以我只处理了内存操作相关的函数。
也就是说调试进程或者申请内存或者变速之类的函数我都没有做修改
ReClassEx超级版下载地址 : https://wwx.lanzoux.com/itdCZipsoej
CrySearch超级版下载地址 : https://wwx.lanzoux.com/ibCqSipsreh
Cheat Engine超级版下载地址 : https://wwx.lanzoux.com/iPNzQipsw6j
后面再放一个Github项目地址,以防更新 :https://github.com/FiYHer/Game-Cheating-Tutorial/tree/master/%5B%E5%B7%A5%E5%85%B7%5D%20%5B%E6%9C%AC%E4%BA%BA%5D%20Bypass%20AC%20analytics%20games
2020.12.15更新
上一个版本只hook了ReadProcessMemory和WriteProcessMemory函数,只能操作基本内存
这个版本多hook了VirtualAllocEx VirtualFreeEx CreateRemoteThread,能够申请\释放内存和注入DLL
另外OpenProcess的时候使用了句柄提权,能够正常显示绿色的基址了(上个版本不行)
怕被定CE的特征码,特意用UPX压缩了一下CE
新版下载地址 : https://wwx.lanzoux.com/i1bCsjdsycb
2020.12.25更新
请各位大佬在Win10系统中测试!!!
请各位大佬在Win10系统中测试!!!
请各位大佬在Win10系统中测试!!!
Win7在我工作环境中已经被淘汰
这驱动被反作弊系统检测到是必然的!!!!
请用小号登录后查找自己需要的相关游戏数据,得到相关地址后该干嘛就干嘛
这个工具是过读写保护而不是过检测!!!
所以封号是大概率的!!
如果需要调试的话请使用官方原版的CE里面的内核调试驱动!!!!
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
|
发表于 2020-12-16 10:21
|楼主
收藏
淘帖
有用
分享到朋友圈
。。。 rmd.sys
