[原创]简单谈谈“游戏圈”所谓的神乎其技的行为检测（5）-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]简单谈谈“游戏圈”所谓的神乎其技的行为检测（5）

发表于: 2013-3-22 20:23 26148

[原创]简单谈谈“游戏圈”所谓的神乎其技的行为检测（5）

cvcvxk

2013-3-22 20:23

26148

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・8

免费・6

支持

最新回复 (35) 1 2 ▶
哟哟哟哟雪币： 107 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 205 粉丝 0 关注私信	哟哟哟哟 2 楼讲一下如何过90%以上的游戏驱动保护呗 2013-3-22 20:34 0
笨奔雪币： 415 活跃值： (34) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 748 粉丝 1 关注私信	笨奔 1 3 楼老大这篇只能算类人工程学吧。 2013-3-22 20:36 0
lhwqqq 雪币： 47 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 87 粉丝 0 关注私信	lhwqqq 4 楼讲一讲对非脱机的一个检测 V大 2013-3-22 20:38 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 5 楼你所需要的就是访问：http://www.antigameprotect.com/forum.php 有免费的，也有收费的本系列只谈检测，不谈保护~ 2013-3-22 20:42 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 6 楼具体一些，比如你想知道内存检测类别，还是其他什么的~ 2013-3-22 20:43 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 7 楼你是说聊天那个，聊天这个是自动发的，内容是选好的条目里随机的... 2013-3-22 20:46 0
cooop 雪币： 43 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	cooop 8 楼楼主，因为你的头像、你的技术、你的文采，我已经深深的爱上你了。。。 2013-3-22 21:11 0
梨树生果雪币： 3581 活跃值： (719) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 53 粉丝 1 关注私信	梨树生果 9 楼楼主谈一谈游戏追封一般都是怎么实现的呗！一般都判断什么？ 2013-3-22 21:14 0
SIsIa 雪币： 270 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 215 粉丝 0 关注私信	SIsIa 10 楼这种猥琐的检测方法，只有老V能想出来，膜拜啊！ 2013-3-22 21:52 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 11 楼再白痴的检测方法,加了vm,也难倒了一打的人,关键点还是自己发现暗庄随便发言而已... 2013-3-22 21:54 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 12 楼其实一般都是第一时间就检测发现问题了，但是过几天才封，这是一种追封。还有就是发现大量有问题的交易记录（检测发现问题的帐号的交易也会被独立处理了），于是几天后把整个交易链上的号都封了~ 当然也可能是因为机器硬件标识已经加入黑名单后，进行的处理。还有异常IP的登录...实现起来各有千秋，判断多种多样。目前自动处理常见黑名单机器硬件标识和存在异常行为的ip帐号登录，以及处于检出状态的帐号交易记录这三种，也有人工处理的和一些其他检测结果，比如辅助软件被云后，检测其hash，然后分批对比帐号扫描记录中是否存在相同hash,然后结合其他信息记录进行的... 2013-3-22 22:05 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 13 楼 1.加了VM最后还是要经过系统调用的—— 2.就算不加VM,也未必被发现，因为存在云啥啥~ 3.暗桩不仅仅是一个，都是一个又一个勾结的... 2013-3-22 22:15 0
辉煌世纪雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 129 粉丝 0 关注私信	辉煌世纪 14 楼其实用不着分这么多篇吧写一个帖子里多好 2013-3-22 22:16 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 15 楼方法都是人想的，我能想到的，你也能想到，只是你想没想而已。大部分爆料的方法都有实际应用的（不违反我所签署的持续性保密协议的条款下爆料的）。 2013-3-22 22:18 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 16 楼一篇帖子写完，太长，很多人不会看完。 2013-3-22 22:19 0
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 17 楼甚至有的同事想出来如果存在摄像头则拍照取回判断是否存在人脸等等... 弱弱的问下,同事的脑子疼不疼,居然都斗到这份上啦,是不是走着,坐着,躺着,趴着,吃着,喝着,醒着,梦着都在想怎么能更XX一点 2013-3-22 22:26 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 18 楼都是为了工作而已。其实一般开完技术研讨会就不想了，方案一般三次会议定下来，然后就是敲敲代码而已。完全不用头疼的说。 2013-3-22 22:38 0
诶一雪币： 10 活跃值： (231) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 176 粉丝 2 关注私信	诶一 19 楼 v大能否讲下内存检测的类别，很多东西一修改代码，数据就被检测到，这类的检测方式，能否总结讲一下勒。 2013-3-22 23:05 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 20 楼内存校验不就是把那块内存计算下crc值嘛,然后和服务器对比一下,就这么简单,一点也不神秘主要是大量vm难搞. vmp就是全世界的公敌... 2013-3-23 05:58 0
twtgh 雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 0 关注私信	twtgh 21 楼坐听高手讲解能否再讲讲如何过加了VM的驱动思路 2013-3-23 08:16 0
baohongyu 雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 211 粉丝 0 关注私信	baohongyu 22 楼顶V大........ 2013-3-23 08:28 0
lhwqqq 雪币： 47 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 87 粉丝 0 关注私信	lhwqqq 23 楼难道服务器把那块内存的CRC值，事先计算好了？数据应该一直会变的吧，我觉得 2013-3-23 09:12 0
诶一雪币： 10 活跃值： (231) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 176 粉丝 2 关注私信	诶一 24 楼那种我觉得只是针对代码的校验吧，数据的话那样做还是不行，数据是会变的。针对内存的检测应该还是有其他的种类， 2013-3-23 13:04 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 25 楼在摄像头则拍照取回判断是否存在人脸等等 ....这你妹也太猥琐了 2013-3-23 16:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cvcvxk

125

发帖

3095

回帖

760

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (35) 1 2 ▶
哟哟哟哟雪币： 107 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 205 粉丝 0 关注私信	哟哟哟哟 2 楼讲一下如何过90%以上的游戏驱动保护呗 2013-3-22 20:34 0
笨奔雪币： 415 活跃值： (34) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 748 粉丝 1 关注私信	笨奔 1 3 楼老大这篇只能算类人工程学吧。 2013-3-22 20:36 0
lhwqqq 雪币： 47 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 87 粉丝 0 关注私信	lhwqqq 4 楼讲一讲对非脱机的一个检测 V大 2013-3-22 20:38 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 5 楼你所需要的就是访问：http://www.antigameprotect.com/forum.php 有免费的，也有收费的本系列只谈检测，不谈保护~ 2013-3-22 20:42 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 6 楼具体一些，比如你想知道内存检测类别，还是其他什么的~ 2013-3-22 20:43 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 7 楼你是说聊天那个，聊天这个是自动发的，内容是选好的条目里随机的... 2013-3-22 20:46 0
cooop 雪币： 43 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	cooop 8 楼楼主，因为你的头像、你的技术、你的文采，我已经深深的爱上你了。。。 2013-3-22 21:11 0
梨树生果雪币： 3581 活跃值： (719) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 53 粉丝 1 关注私信	梨树生果 9 楼楼主谈一谈游戏追封一般都是怎么实现的呗！一般都判断什么？ 2013-3-22 21:14 0
SIsIa 雪币： 270 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 215 粉丝 0 关注私信	SIsIa 10 楼这种猥琐的检测方法，只有老V能想出来，膜拜啊！ 2013-3-22 21:52 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 11 楼再白痴的检测方法,加了vm,也难倒了一打的人,关键点还是自己发现暗庄随便发言而已... 2013-3-22 21:54 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 12 楼其实一般都是第一时间就检测发现问题了，但是过几天才封，这是一种追封。还有就是发现大量有问题的交易记录（检测发现问题的帐号的交易也会被独立处理了），于是几天后把整个交易链上的号都封了~ 当然也可能是因为机器硬件标识已经加入黑名单后，进行的处理。还有异常IP的登录...实现起来各有千秋，判断多种多样。目前自动处理常见黑名单机器硬件标识和存在异常行为的ip帐号登录，以及处于检出状态的帐号交易记录这三种，也有人工处理的和一些其他检测结果，比如辅助软件被云后，检测其hash，然后分批对比帐号扫描记录中是否存在相同hash,然后结合其他信息记录进行的... 2013-3-22 22:05 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 13 楼 1.加了VM最后还是要经过系统调用的—— 2.就算不加VM,也未必被发现，因为存在云啥啥~ 3.暗桩不仅仅是一个，都是一个又一个勾结的... 2013-3-22 22:15 0
辉煌世纪雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 129 粉丝 0 关注私信	辉煌世纪 14 楼其实用不着分这么多篇吧写一个帖子里多好 2013-3-22 22:16 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 15 楼方法都是人想的，我能想到的，你也能想到，只是你想没想而已。大部分爆料的方法都有实际应用的（不违反我所签署的持续性保密协议的条款下爆料的）。 2013-3-22 22:18 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 16 楼一篇帖子写完，太长，很多人不会看完。 2013-3-22 22:19 0
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 17 楼甚至有的同事想出来如果存在摄像头则拍照取回判断是否存在人脸等等... 弱弱的问下,同事的脑子疼不疼,居然都斗到这份上啦,是不是走着,坐着,躺着,趴着,吃着,喝着,醒着,梦着都在想怎么能更XX一点 2013-3-22 22:26 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 18 楼都是为了工作而已。其实一般开完技术研讨会就不想了，方案一般三次会议定下来，然后就是敲敲代码而已。完全不用头疼的说。 2013-3-22 22:38 0
诶一雪币： 10 活跃值： (231) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 176 粉丝 2 关注私信	诶一 19 楼 v大能否讲下内存检测的类别，很多东西一修改代码，数据就被检测到，这类的检测方式，能否总结讲一下勒。 2013-3-22 23:05 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 20 楼内存校验不就是把那块内存计算下crc值嘛,然后和服务器对比一下,就这么简单,一点也不神秘主要是大量vm难搞. vmp就是全世界的公敌... 2013-3-23 05:58 0
twtgh 雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 0 关注私信	twtgh 21 楼坐听高手讲解能否再讲讲如何过加了VM的驱动思路 2013-3-23 08:16 0
baohongyu 雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 211 粉丝 0 关注私信	baohongyu 22 楼顶V大........ 2013-3-23 08:28 0
lhwqqq 雪币： 47 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 87 粉丝 0 关注私信	lhwqqq 23 楼难道服务器把那块内存的CRC值，事先计算好了？数据应该一直会变的吧，我觉得 2013-3-23 09:12 0
诶一雪币： 10 活跃值： (231) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 176 粉丝 2 关注私信	诶一 24 楼那种我觉得只是针对代码的校验吧，数据的话那样做还是不行，数据是会变的。针对内存的检测应该还是有其他的种类， 2013-3-23 13:04 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 25 楼在摄像头则拍照取回判断是否存在人脸等等 ....这你妹也太猥琐了 2013-3-23 16:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复