好友
阅读权限10
听众
最后登录1970-1-1
|
现在的保护系统基本都具备了下面技术特点:
1,对Game.exe的Crc校验,清断点,清内存断点,破坏PE头,破解IAT,破解重定位表等等。
2,3环繁琐的检测系统,检测系统API,检测模块,检测堆栈,检测模块,
然后,把检测结果加密发送给Server。
而且,检测的代码和加密算法都vm处理了。
3,Hook驱动,SSDT,IAT,EAT,inline。
对NtOpenProcess, NtCreateProcess, NtOpenThread,NtQueryObject等等处理。
而且,搞几个时钟不停的检测驱动服务状态。
常见的保护系统:TP,HP,NP,ZP,GPK,xTrap,apllo,HS,
驱动级保护系统:侧重于反调试,无非就SSDT,驱动级的IAT,eat,inline,调试端口清0,搞个时钟不停的检测。一个一个的去检查,干掉。难点是检查的代码通常被VM了。
壳的保护:代码校验,调试端口,检查Hook,检查模块间的长跳,检查不合法的模块。所有的这些检查都不可能是一直在运行,都是在时钟做定时检查。想办法去找到那个时钟,停掉它。下内存断,硬件读取断通常可以定位到检查的Code的关键位置。另外壳也会加vm,而且破坏pe头,破坏iat,需要一格一格的修复。
3环的反外?挂,就是游戏进程自己的检测:通常检测堆栈,因为挂总是要调用游戏本事的一些Call,检查堆栈通常可以找到不合理的模块调用返回值。
封包挂肯定需要hook,send,recv,Encrypt,decrpt等等一些函数,游戏Game.exe会对一些关键函数做crc验证。等等各种反外?挂的方法千奇百怪的,需要见招拆招,没有一个通用的方法的。
另外,
1,还有游戏服务器的行为检测外?挂。所以还需要学习一下AI人工资能的技术。
2,图片验证。这个需要研究ocr技术。
这些都是网上查到的。
|
|
[复制链接]
发表于 2014-7-7 23:19
