[翻译]决战反外挂系统之秘密通讯原理-外文翻译-看雪-安全社区|安全招聘|kanxue.com

[翻译]决战反外挂系统之秘密通讯原理

2010-11-4 21:27 94738

[翻译]决战反外挂系统之秘密通讯原理

riusksk

2010-11-4 21:27

94738

作者：Shawn (L. Spiro) Wilcoxen
译者：riusksk（泉哥）

前言
逃避反外挂系统的检测是当今新生游戏黑客最大的障碍，而存活最久的逃避方法当属DLL注入。在外面流传的黑客技术/工具是最容易被封杀的，这仅在与目标游戏进行频繁交互的系统函数上挂钩即可实现。本文涵盖了这些技术及工具绕过检测的方法，仅通过向目标进程注入DLL来避免调用挂钩的系统函数，进而使这些黑客工具可以访问任何目标进程，如果直接调用的话就可能会被反外挂系统发现，进而被查杀。在本文中有两份独立代码：一份是用于注入到游戏进程的DLL文件，一份是与DLL交互的工具，主要用于秘密获取目标进程的相关信息。
……

阿里云助力开发者！2核2G 3M带宽不限流量！6.18限时价，开发者可享99元/年，续费同价！

上传的附件：

决战反外挂系统之秘密通讯原理.rar （1.88MB，1645次下载）

收藏・50

点赞・6

打赏

最新回复 (90) 1 2 3 4 ▶
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 19 回帖 240 粉丝 10 关注私信	dragonltx 6 2010-11-4 21:51 2 楼 0 顶起！！！好文！
StudyRush 雪币： 678 活跃值： (101) 能力值： ( LV2，RANK：150 ) 在线值：发帖 11 回帖 522 粉丝 0 关注私信	StudyRush 3 2010-11-4 22:10 3 楼 0 我想问一下这些的来源是在哪里的。
riusksk 雪币： 431 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 232 关注私信	riusksk 41 2010-11-4 22:12 4 楼 0 国外的黑客杂志《hack in the box》，本译文自我感觉翻译得不是很好，有条件的建议直接看原文，就在第3期杂志上。
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 2010-11-4 22:52 5 楼 0 LZ饱读各种安全书籍啊。
hekbobo 雪币： 72 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 29 粉丝 0 关注私信	hekbobo 2010-11-4 22:54 6 楼 0 泉哥用什么开发环境呀?
riusksk 雪币： 431 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 232 关注私信	riusksk 41 2010-11-4 23:06 7 楼 0 VC 、Radasm
hovey 雪币： 211 活跃值： (152) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	hovey 2010-11-4 23:10 8 楼 0 学习了，哈哈，原来是安全杂志上的
dwboy 雪币： 45 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	dwboy 2010-11-4 23:42 9 楼 0 辛苦了~
jiangming 雪币： 57 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 135 粉丝 0 关注私信	jiangming 2010-11-5 00:53 10 楼 0 泉哥好人啊……
木棉雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 45 粉丝 0 关注私信	木棉 2010-11-5 01:00 11 楼 0 为什么叫泉哥，～～
riusksk 雪币： 431 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 232 关注私信	riusksk 41 2010-11-5 07:45 12 楼 0 纯属意外!!!
寒冰心结雪币： 7521 活跃值： (2121) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 238 粉丝 0 关注私信	寒冰心结 2010-11-5 09:07 13 楼 0 嗯..不错..学习了..谢谢分享
枫叶飘雪币： 37 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 191 粉丝 0 关注私信	枫叶飘 2010-11-5 09:17 14 楼 0 十分感谢楼主了！
YwdxY 雪币： 347 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 0 关注私信	YwdxY 2010-11-5 09:37 15 楼 0 感谢翻译~ 支持
zhchchqihu 雪币： 291 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	zhchchqihu 2010-11-5 10:03 16 楼 0 好东西，顶起~!
lwleo 雪币： 246 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	lwleo 2010-11-5 10:20 17 楼 0 泉哥出品必属精品
guiss 雪币： 206 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 52 粉丝 0 关注私信	guiss 2010-11-5 10:25 18 楼 0 谢谢~~~~~~~~~~~~~~~~~~~~~~~！
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 101 回帖 902 粉丝 0 关注私信	winnip 1 2010-11-5 10:34 19 楼 0 由于你的DLL文件名应该随机的，因此只有DLL本身和客户端软件真正地知道DLL名称。如果客户端软件卸载了此DLL，那么该DLL需要向其它未加载此DLL的进程发送秘密信息，以实现进一步的通讯，这也是本文所选择的方法. 什么意思呢？是通过卸载？？？
profmit 雪币： 160 活跃值： (360) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	profmit 2010-11-5 10:46 20 楼 0 有点长有点复杂，看起来不是新技术~谢谢翻译~
crdiy 雪币： 346 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 60 粉丝 1 关注私信	crdiy 2010-11-5 10:47 21 楼 0 感谢翻译。。E文不会哦
qxhonker 雪币： 233 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	qxhonker 2010-11-5 11:01 22 楼 0 楼主辛苦了顶一下
LooKTVer 雪币： 231 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	LooKTVer 2010-11-5 11:03 23 楼 0 不错。可以学习一下，了解一下外挂的原理
竹风明月雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	竹风明月 2010-11-5 11:28 24 楼 0 我要好好学习学习
riusksk 雪币： 431 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 232 关注私信	riusksk 41 2010-11-5 12:42 25 楼 0 如果被注入的DLL被卸载掉了，就要借助其它进程进行通讯
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

riusksk

166

发帖

2652

回帖

1820

RANK

关注

私信

他的文章

[调查]未来针对个人电脑的商业杀毒软件是否会被替代或消亡？

[原创] honggfuzz漏洞挖掘技术深究系列

[原创]《漏洞战争》配套资料下载

关于我们

联系我们

企业服务

看雪公众号

最新回复 (90) 1 2 3 4 ▶
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 19 回帖 240 粉丝 10 关注私信	dragonltx 6 2010-11-4 21:51 2 楼 0 顶起！！！好文！
StudyRush 雪币： 678 活跃值： (101) 能力值： ( LV2，RANK：150 ) 在线值：发帖 11 回帖 522 粉丝 0 关注私信	StudyRush 3 2010-11-4 22:10 3 楼 0 我想问一下这些的来源是在哪里的。
riusksk 雪币： 431 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 232 关注私信	riusksk 41 2010-11-4 22:12 4 楼 0 国外的黑客杂志《hack in the box》，本译文自我感觉翻译得不是很好，有条件的建议直接看原文，就在第3期杂志上。
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 2010-11-4 22:52 5 楼 0 LZ饱读各种安全书籍啊。
hekbobo 雪币： 72 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 29 粉丝 0 关注私信	hekbobo 2010-11-4 22:54 6 楼 0 泉哥用什么开发环境呀?
riusksk 雪币： 431 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 232 关注私信	riusksk 41 2010-11-4 23:06 7 楼 0 VC 、Radasm
hovey 雪币： 211 活跃值： (152) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	hovey 2010-11-4 23:10 8 楼 0 学习了，哈哈，原来是安全杂志上的
dwboy 雪币： 45 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	dwboy 2010-11-4 23:42 9 楼 0 辛苦了~
jiangming 雪币： 57 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 135 粉丝 0 关注私信	jiangming 2010-11-5 00:53 10 楼 0 泉哥好人啊……
木棉雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 45 粉丝 0 关注私信	木棉 2010-11-5 01:00 11 楼 0 为什么叫泉哥，～～
riusksk 雪币： 431 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 232 关注私信	riusksk 41 2010-11-5 07:45 12 楼 0 纯属意外!!!
寒冰心结雪币： 7521 活跃值： (2121) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 238 粉丝 0 关注私信	寒冰心结 2010-11-5 09:07 13 楼 0 嗯..不错..学习了..谢谢分享
枫叶飘雪币： 37 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 191 粉丝 0 关注私信	枫叶飘 2010-11-5 09:17 14 楼 0 十分感谢楼主了！
YwdxY 雪币： 347 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 0 关注私信	YwdxY 2010-11-5 09:37 15 楼 0 感谢翻译~ 支持
zhchchqihu 雪币： 291 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	zhchchqihu 2010-11-5 10:03 16 楼 0 好东西，顶起~!
lwleo 雪币： 246 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	lwleo 2010-11-5 10:20 17 楼 0 泉哥出品必属精品
guiss 雪币： 206 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 52 粉丝 0 关注私信	guiss 2010-11-5 10:25 18 楼 0 谢谢~~~~~~~~~~~~~~~~~~~~~~~！
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 101 回帖 902 粉丝 0 关注私信	winnip 1 2010-11-5 10:34 19 楼 0 由于你的DLL文件名应该随机的，因此只有DLL本身和客户端软件真正地知道DLL名称。如果客户端软件卸载了此DLL，那么该DLL需要向其它未加载此DLL的进程发送秘密信息，以实现进一步的通讯，这也是本文所选择的方法. 什么意思呢？是通过卸载？？？
profmit 雪币： 160 活跃值： (360) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	profmit 2010-11-5 10:46 20 楼 0 有点长有点复杂，看起来不是新技术~谢谢翻译~
crdiy 雪币： 346 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 60 粉丝 1 关注私信	crdiy 2010-11-5 10:47 21 楼 0 感谢翻译。。E文不会哦
qxhonker 雪币： 233 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	qxhonker 2010-11-5 11:01 22 楼 0 楼主辛苦了顶一下
LooKTVer 雪币： 231 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	LooKTVer 2010-11-5 11:03 23 楼 0 不错。可以学习一下，了解一下外挂的原理
竹风明月雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	竹风明月 2010-11-5 11:28 24 楼 0 我要好好学习学习
riusksk 雪币： 431 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 232 关注私信	riusksk 41 2010-11-5 12:42 25 楼 0 如果被注入的DLL被卸载掉了，就要借助其它进程进行通讯
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复