能力值:
( LV2,RANK:10 )
|
-
-
2 楼
楼主是做外挂的吧
|
能力值:
( LV4,RANK:50 )
|
-
-
3 楼
1.把OD从eprocess中断链 别用函数操作 用FS 试试
2.看看createremotethread
3.eprocess有好几处偏移可以检测调试器 xt,ce不属于调试器 那不是躲过的检测 是游戏本身就没有检测xt,ce的代码
|
能力值:
( LV12,RANK:760 )
|
-
-
4 楼
内存特征码,文件特征码,各种扫描,总而言之,OD菊花非常大,已经无药可救~~
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
V大!!!
V大来回答我了,受宠若惊~~
膜拜!!!
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
OD只开着,不附加,啥都不干,就被检测。
重载内核,让OD走新内核,还是一样
应该是读取OD的内存作判断了
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
V大,请教一下,HS除了用OpenProcess外,还用什么方法读取OD内存?KeStackAttachProcess?
我等下HOOK看看
|
能力值:
( LV6,RANK:80 )
|
-
-
8 楼
内存中不能出现OllyDbg...
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
你见过连保护都过不了的做挂的??
我喜欢玩网游,也喜欢编程,后来迷上了破解技术
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
它是通过什么方法读取我的内存的?
看能不能HOOK掉
|
能力值:
( LV5,RANK:60 )
|
-
-
11 楼
接管分页和调试机制
|
能力值:
( LV3,RANK:30 )
|
-
-
12 楼
RING 0 下PEB断链就可以避开HS对任何进程的Scan
|
能力值:
( LV12,RANK:760 )
|
-
-
13 楼
内存躲开之后还有文件,od目录的那个形态...ini文件内容特征码~~
唉,真的无解,菊花太大,别再挣扎直接扔掉吧~
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
那V大神是用什么来查看的呢?
|
能力值:
( LV12,RANK:760 )
|
-
-
15 楼
我用ida 调试
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
谢谢各位大牛的回答!
小菜我感激不尽!
我会继续努力学习攻破难关!
|
能力值:
( LV4,RANK:50 )
|
-
-
17 楼
检测根本不需要用内核函数 那是下策 重载没什么意义 建议多看书学基础知识吧 光过所谓游戏的保护只能学出一条路 一变化就不会了
读内存是要先找到其他进程的一个标识(句柄或者进程内部一个位置) 这是根本的思路 防被检测就是让别人枚举不出你在win内核中的相关链表 不管是文件系统链还是进程链 从而就没法继续读相关进程的内存 道理是一样的
|
能力值:
( LV10,RANK:163 )
|
-
-
18 楼
进程断链,然后把回调都被摘了菊花就不容易被爆了.
|
能力值:
( LV3,RANK:30 )
|
-
-
19 楼
果然思路才是重点。。
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
各位大大,上面的策略,比如断链,防止获取句柄,这些都是针对某个模块/进程的特征码检测.
如果是dll注入到目标进程,目标进程直接扫描所有内存地址,搜特征码,这个该如何防止???
|
能力值:
( LV15,RANK:440 )
|
-
-
21 楼
可以试试静态补丁一下OD的文件,窗口类名,窗口标题名和“Ollydbg"相关的全部改成别的。OD的可执行文件名也改成别的。资源节相关的字符串也调整一下。
还有个方法我没有试过:如果不考虑插件兼容的问题,可以对OD进行VM,特征码会全乱掉地。
|
能力值:
( LV2,RANK:10 )
|
-
-
22 楼
感谢各位大大的回复!!!
目前还是没解决这个问题。
我隐藏了进程,让HS的不再用ObOpenObjectByPointer引用到我的OD
但是无奈的是,还是被查到,不知道它是用什么方法的。
|
能力值:
( LV9,RANK:380 )
|
-
-
23 楼
进程,窗体,内存,断点,等待,OD的菊花太大了,没救了
|
能力值:
( LV2,RANK:10 )
|
-
-
24 楼
文件的话,只要不是全盘扫描……参考小伟那个篡改系统里面记录的所有全路径和文件名伪装成系统进程怎么样……这样还能找到OD的目录么……
|
能力值:
( LV12,RANK:760 )
|
-
-
25 楼
一个GetWindow枚举就日死了~
|
|
|