[原创]利用veh完成内存补丁功能，以躲避运行时内存检测-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]利用veh完成内存补丁功能，以躲避运行时内存检测

发表于: 2011-11-27 16:39 28339

[原创]利用veh完成内存补丁功能，以躲避运行时内存检测

bitt

2011-11-27 16:39

28339

这事缘起于dota，前几天和同学在某vx平台dota，被一开挂黑店虐得不行。一气之下也找来个war3的挂，想报仇雪恨。结果游戏刚启动就被平台踢出来了，看来偷懒是不行的了，网上google了一番，该平台的反外挂主要基于黑名单和运行时内存检测。

黑名单就不说了，运行时内存检测是比较致命的，因为开图必然要改程序流程，改流程免不了要打内存补丁，打了补丁又不想被发现也是有办法的，比如shadowwalk，这是刚学到的新名词，详见http://bbs.pediy.com/showthread.php?t=58896
该方法简述就是模块重载，让读取和执行分离开来，不过要做的工作实在太多，而且不稳定，总之我真心认为硬碰硬不是好办法，也不是长久之计。其实简单的改改流程不被发现可以用异常处理来做，很安全稳定。

先复习一下异常处理流程，在没有调试器的情况下，用户层异常的分发由KiUserExceptionDispatcher完成，其中再调用RtlDispatchException分发异常，RtlDispatchException中首先RtlCallVectoredExceptionHandlers执行veh，如果此异常被处理则不再继续分发，未处理则展开seh链依次RtlExecuteHandlerForException执行seh，同样的，如果被处理则不再分发，否则继续，如果都没有处理则进程崩溃。这么看来只要抢在游戏本身seh之前捕获并处理异常游戏肯定是不会发现的。

简单说下怎么做，AddVectoredExceptionHandler给进程装上一个向量异常处理handler，然后在将drx寄存器设置为要打补丁的位置，也就是在补丁位置下一个硬件执行断点，执行到此处时抛出单步异常，异常处理捕获异常，在handler里模拟补丁功能。异常处理函数被调用时会传进来线程context指针，所以可以干的事情很多很多，这里可以发挥一下想象力。

就拿war3来举例吧，游戏就不用调了，网上找个开图工具，开图进游戏，扫扫进程钩子可以发现游戏被patch了两个地方

0x6f361f7c  0x01 - 0x00
0x6f3a20dd  0x75 - 0xeb

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#调试逆向

上传的附件：

veh.rar （438.48kb，328次下载）

收藏・65

免费・8

支持

最新回复 (24)
靴子雪币： 22 活跃值： (443) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 2 楼好帖要顶 2011-11-27 17:03 0
b23526 雪币： 4560 活跃值： (1002) 能力值： ( LV4，RANK：50 ) 在线值：发帖 351 回帖 1832 粉丝 4 关注私信	b23526 3 楼灰常不错的创意,不错的帖子 2011-11-27 17:09 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 4 楼过不了11平台，检测的时候占用一下DRX或者清空一下DRX，就难了 2011-11-27 17:25 0
bitt 雪币： 435 活跃值： (1277) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 5 楼 11平台没玩过，也不是真心想作弊，就一个思路，要是这平台能把所以的作弊都封掉，那更好，本来开图就为个公平 2011-11-27 17:44 0
路独行雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 142 粉丝 0 关注私信	路独行 6 楼对了。。新手问个不该问的问题。。。怎么实现这个功能，是不是还有一个开图的主程序 2011-11-27 18:53 0
bitt 雪币： 435 活跃值： (1277) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 7 楼把附件俩dll放war3目录下就行了 2011-11-27 18:55 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 8 楼 WAR3启动会搜索目录下的mix asi等等后缀的文件，然后加载 2011-11-27 19:29 0
bitt 雪币： 435 活跃值： (1277) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 9 楼这个叼，以前真不知道，看来真的什么都不用改，扔个文件进去就行了我去啊，太方便了 2011-11-27 19:44 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 10 楼好东东，不会打魔兽 2011-11-27 19:52 0
hackerxina 雪币： 263 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 1 关注私信	hackerxina 11 楼思路不错，又学了一招 2011-11-28 09:24 0
morning 雪币： 367 活跃值： (20) 能力值： ( LV5，RANK：70 ) 在线值：发帖 36 回帖 494 粉丝 3 关注私信	morning 1 12 楼你都改导入表了,你还折腾这做啥? 2011-11-28 10:05 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 13 楼学习............. 2011-11-28 10:12 0
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 14 楼作弊真心没意思求虐求侮辱求怀孕 2011-11-28 13:52 0
bitt 雪币： 435 活跃值： (1277) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 15 楼运行时代码校验只检测game.dll的text段，不检测导入表，当然还有别的方法让他加载，比如楼上exile说的 2011-11-28 14:11 0
comealong 雪币： 334 活跃值： (78) 能力值： ( LV3，RANK：30 ) 在线值：发帖 21 回帖 137 粉丝 0 关注私信	comealong 16 楼思路不错, cheatengine也用这个思路来躲避检查 2011-11-28 14:11 0
bitt 雪币： 435 活跃值： (1277) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 17 楼求抱大腿 .... 2011-11-28 14:20 0
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 18 楼 11平台你玩不?把你id给我,我加你一起玩. 2011-11-29 14:53 0
hackboylyq 雪币： 160 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 48 粉丝 0 关注私信	hackboylyq 19 楼现在还玩DOTA的么，转行去玩LOL好了 2011-11-29 16:33 0
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 231 粉丝 0 关注私信	痞子辉 1 20 楼咱现在都玩LOL了。。 2011-11-29 18:12 0
cdutboy 雪币： 93 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	cdutboy 21 楼好贴.... 2011-11-30 13:40 0
bitt 雪币： 435 活跃值： (1277) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 22 楼这个方法已经被封了，今天被T出来了 2011-12-7 20:38 0
px星雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	px星 23 楼这你M啊。。。。果然在这上面贴出来有风险啊。。。。 2011-12-13 20:23 0
eGirlAsm 雪币： 142 活跃值： (310) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 119 粉丝 7 关注私信	eGirlAsm 24 楼妙哉.妙哉 2012-1-14 22:58 0
院士雪币： 3544 活跃值： (3919) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 176 粉丝 2 关注私信	院士 25 楼不错啊，还不会这招。 2021-7-15 20:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

bitt

发帖

634

回帖

388

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
靴子雪币： 22 活跃值： (443) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 2 楼好帖要顶 2011-11-27 17:03 0
b23526 雪币： 4560 活跃值： (1002) 能力值： ( LV4，RANK：50 ) 在线值：发帖 351 回帖 1832 粉丝 4 关注私信	b23526 3 楼灰常不错的创意,不错的帖子 2011-11-27 17:09 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 4 楼过不了11平台，检测的时候占用一下DRX或者清空一下DRX，就难了 2011-11-27 17:25 0
bitt 雪币： 435 活跃值： (1277) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 5 楼 11平台没玩过，也不是真心想作弊，就一个思路，要是这平台能把所以的作弊都封掉，那更好，本来开图就为个公平 2011-11-27 17:44 0
路独行雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 142 粉丝 0 关注私信	路独行 6 楼对了。。新手问个不该问的问题。。。怎么实现这个功能，是不是还有一个开图的主程序 2011-11-27 18:53 0
bitt 雪币： 435 活跃值： (1277) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 7 楼把附件俩dll放war3目录下就行了 2011-11-27 18:55 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 8 楼 WAR3启动会搜索目录下的mix asi等等后缀的文件，然后加载 2011-11-27 19:29 0
bitt 雪币： 435 活跃值： (1277) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 9 楼这个叼，以前真不知道，看来真的什么都不用改，扔个文件进去就行了我去啊，太方便了 2011-11-27 19:44 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 10 楼好东东，不会打魔兽 2011-11-27 19:52 0
hackerxina 雪币： 263 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 1 关注私信	hackerxina 11 楼思路不错，又学了一招 2011-11-28 09:24 0
morning 雪币： 367 活跃值： (20) 能力值： ( LV5，RANK：70 ) 在线值：发帖 36 回帖 494 粉丝 3 关注私信	morning 1 12 楼你都改导入表了,你还折腾这做啥? 2011-11-28 10:05 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 13 楼学习............. 2011-11-28 10:12 0
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 14 楼作弊真心没意思求虐求侮辱求怀孕 2011-11-28 13:52 0
bitt 雪币： 435 活跃值： (1277) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 15 楼运行时代码校验只检测game.dll的text段，不检测导入表，当然还有别的方法让他加载，比如楼上exile说的 2011-11-28 14:11 0
comealong 雪币： 334 活跃值： (78) 能力值： ( LV3，RANK：30 ) 在线值：发帖 21 回帖 137 粉丝 0 关注私信	comealong 16 楼思路不错, cheatengine也用这个思路来躲避检查 2011-11-28 14:11 0
bitt 雪币： 435 活跃值： (1277) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 17 楼求抱大腿 .... 2011-11-28 14:20 0
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 18 楼 11平台你玩不?把你id给我,我加你一起玩. 2011-11-29 14:53 0
hackboylyq 雪币： 160 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 48 粉丝 0 关注私信	hackboylyq 19 楼现在还玩DOTA的么，转行去玩LOL好了 2011-11-29 16:33 0
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 231 粉丝 0 关注私信	痞子辉 1 20 楼咱现在都玩LOL了。。 2011-11-29 18:12 0
cdutboy 雪币： 93 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	cdutboy 21 楼好贴.... 2011-11-30 13:40 0
bitt 雪币： 435 活跃值： (1277) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 22 楼这个方法已经被封了，今天被T出来了 2011-12-7 20:38 0
px星雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	px星 23 楼这你M啊。。。。果然在这上面贴出来有风险啊。。。。 2011-12-13 20:23 0
eGirlAsm 雪币： 142 活跃值： (310) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 119 粉丝 7 关注私信	eGirlAsm 24 楼妙哉.妙哉 2012-1-14 22:58 0
院士雪币： 3544 活跃值： (3919) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 176 粉丝 2 关注私信	院士 25 楼不错啊，还不会这招。 2021-7-15 20:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复