TP，HP，NP，ZP，GPK，xTrap，apllo，HS，，这些保护系统，在游戏目录都有相应的目录。一看就知道了。

用PEID查壳，就知道是否加了壳。如果找不到壳类型，那么去更新PEid的表，如果还是找不到壳，

那么用OD附加（前提是驱动保护已经干掉）。修正PE头，直接dump出来，至于IAT修复，慢慢弄吧。至少现在可以用ida分析了。

谢谢Fosom大牛的指点……我回家试试。

驱动级保护系统：侧重于反调试，无非就SSDT，驱动级的IAT，eat，inline，调试端口清0，搞个时钟不停的检测。一个一个的去检查，干掉。难点是检查的代码通常被VM了。

壳的保护：代码校验，调试端口，检查Hook，检查模块间的长跳，检查不合法的模块。所有的这些检查都不可能是一直在运行，都是在时钟做定时检查。想办法去找到那个时钟，停掉它。下内存断，硬件读取断通常可以定位到检查的Code的关键位置。另外壳也会加vm，而且破坏pe头，破坏iat，需要一格一格的修复。

3环的反外挂，就是游戏进程自己的检测：通常检测堆栈，因为挂总是要调用游戏本事的一些Call，检查堆栈通常可以找到不合理的模块调用返回值。
封包挂肯定需要hook，send，recv，Encrypt，decrpt等等一些函数，游戏Game.exe会对一些关键函数做crc验证。等等各种反外挂的方法千奇百怪的，需要见招拆招，没有一个通用的方法的。

另外，
1，还有游戏服务器的行为检测外挂。所以还需要学习一下AI人工资能的技术。
2，图片验证。这个需要研究ocr技术。

很多，很多，我很菜，楼下继续。。。。。。。。。

能留下联系吗 大侠

这个哈士奇很漂亮，赞一个

fosom大牛，我回家后。发现没有你说的那些文件夹。然后我按你的步骤在看雪下载个peid结果打开就提示程序错误。我的系统是W7 x64

如果没有相应的保护系统目录，那可能是小公司的保护系统，不是常见的保护系统。

常见的保护系统都有目录的。除了，Apex，这个也很常见，看看有没有文件 ACDC.dat，如果有那么就是了。

很多游戏公司都会自己开发一个驱动，仅仅一个文件或者几个文件来保护。

这种通常一个xueTr，就可以让你OD附加成功。

早期的保护系统最牛X的当属韩国的NP，不过，现在国内的保护系统，进过这些年的发展，也都不容小嘘了。
现在的保护系统基本都具备了下面技术特点：

1，对Game.exe的Crc校验，清断点，清内存断点，破坏PE头，破解IAT，破解重定位表等等。

2，3环繁琐的检测系统，检测系统API，检测模块，检测堆栈，检测模块，
                然后，把检测结果加密发送给Server。
                而且，检测的代码和加密算法都vm处理了。

3，Hook驱动，SSDT，IAT，EAT，inline。
          对NtOpenProcess, NtCreateProcess, NtOpenThread,NtQueryObject等等处理。
          而且，搞几个时钟不停的检测驱动服务状态。
          
          另外，NP还搞了几个SSDT表。

【常见的保护系统有哪些？】
1，Apex：
        · 北京顶点唯峰科技有限公司
        · 识别：网游的客户端目录中如果有 ACDC.dat 文件，那么可以确定有apex保护。  
                                  其中，关键的2个驱动保护文件：
                  wydsken.sys
                  wyqk.sys
  · 实例： 晴空物语，新骑士，刀剑英雄2，完美的很多游戏。
  
  · 在选择角色之前，OD随便附加，调试。
  
2，Apollo：
        · 识别：ApolloUpdater.exe
                                驱动apollo.sys
        · 实例：露娜Online。
               
        · 简单的调试方法：
                1，开游戏
                2，打开Process Explorer在system属性，线程内挂起apollo.sys
                3，用Process Explorer kill掉ApolloGuardian.exe
                4，用XueTr.exe还原shadow ssdt里面所有hook
                5，用XueTr.exe还原NtReadVirtualMomory，NtWriteVritualMemory，NtOpenProcess
                6，用rookit unhooker还原ApolloGuardian-->的hook (这步可以不用)
                7，用PsNull3结束所有ApolloCT线程               
                8，可以用OD附加。
               
3，Hackshield：

        · 识别：HS调用的驱动是EagleNT.sys.
                HS对驱动的 NtReadVirtualMemory,NtOpenThread,NtOpenProcess,
                NtClose,KeReleaseInStackQueuedSpinLockFromDpcLevel,
                对以上函数Hook了。
               
        · 实例：名将三国
       
        · 简单的调试方法：               
                        bp LoadLibraryA 当调用到EHSvc.dll。  也可以找到HS的启动过程。
                        找到HS启动的Call之后，屏蔽其启动方法：
                                A，在启动Call之前看看是否有状态变量判断，直接强跳就行。
                                B，在启动HS的Call之后，返回值为0，然后直接跳转到游戏CreateGame那里。
               
4，HP
   · 识别：太明显了。
   · 实例：征途2.
   · 暂时没有下到客户端，不清楚情况。
   
5，NP
         · GameGuad，启动直接看到了。
         · 韩国的游戏差不多都加了，尤其是大作。
         · 简单的思路提示：
                        1，OD加载，然后下CreateFileA，改掉加载NP的GameRes文件的文件名。
                        2，忽略异常。
                        3，把NTOpenprocess在SSDT里的服务号换掉，
                        在进程里设置陷阱，防止一个 inline inject 就可以了只要没用NP SDK加密封包的都可以这么干。

6，TP
                · 水太深，会抓人。

7，XTrap
   · 台湾搞鬼Online。
   · xueTr还原Hook，StrongOD直接可以附加。
   
8，ZP
                · 52pojie网站有很多视频教程。

兄弟，你提的这个问题非常对我的胃口，搞的我有很多想法要表达，

然而，你居然一直不在线，我勒个去。

fosom大牛。不是我一直不在线。而是我睡觉了啊。我白天一直都在的。

晚上我看你晚上很活跃 - -#  

正如大牛所说，这个公司确实个小公司。技术能力。估计也没有多高。我是新手。所以必须找小公司的学习。

还有fosom牛牛说有没有acdc.dat我看了一下。没有这个文件。

但是有个客户端.dat
游戏运行后。在进程里也是显示*.dat  如QQ 。打开的话会是qq.exe但这个游戏打开后是*.dat

我方才打开xuetr试图看看。什么情况。

打开的xuetr告诉我驱动加载失败。

同样系统w7 x64

还有。大牛。我分析的是私服。游戏名称是一样的。

但很多小公司。有的开发了自己第登陆器。我分析了2个服。
一个是可以用OD加载。但是加载后。游戏就卡住不动了。换了52破解的OD好像可以……不知道为什么……
但另一个，也可以加载。但是。我下个内存访问马上游戏就自动消失了。
这些原因与我接下来该学习什么。该怎么操作才能继续学习下去？

fosom大牛。你不知道我现在有多难受。学吧。根本没有思路去学。因为不知道是什么。该学习什么知识。

不学吧。我学习了3年了。依然是什么收货也没有。不愿放弃。

我看了一些别人写的成长日记。有的把自己囚禁起来。
我也想过这个方。但是，我现在的情况和囚禁也没什么区别。但是囚禁了。又能怎么样。接下来的路该怎么走。我很是迷茫。
还望fosom牛牛指点1.2。。。。小弟万分感谢……

没测试过64位。有可能不支持。

fosom大牛，问一下。游戏是dat的方式存在在进程里。应该是什么保护？？？

再放个保护系统----游戏对照表。研究各种保护系统，方便找游戏下载。

【游戏】
                Apex，         ACDC.dat
                                        F:\晴空物語\GDOnlineHK
                                         F:\OLgameTW\圣镜传说-传奇网络
                                         F:\新干线\东邪西毒                                                                
                                         F:\OLgameTW\龙Online\LoongOnline\launcher
                                         F:\中华英雄Sohu\Chero20100126\System
                                         F:\新干线\新骑士\MGameTW\KnightOnline
                                         E:\OLGame\大海战II
                                         E:\OLGame\龙心传奇
                                         E:\刀剑英雄2\Sohu刀剑
                                         E:\刀剑英雄2\大陆刀剑英雄2
                                         E:\刀剑英雄2\马来刀剑英雄2
                                         E:\OLGame\大话水浒\dhsh\shdata
                                         E:\OLGame\迷_台湾\Draco Games\4Story
                TP，                TenProtect
                                        F:\QQGame\地下城与勇士\start\TenProtect
                TerSafe.dll                TerSafe.dll
                                        F:\QQGame\QQXXZ1
                                        F:\QQGame\地下城与勇士
                                        F:\QQGame\大明龙权
                                        F:\QQGame\QQ炫舞\bin
                                               
                HS，                EHSvc.dll
                                        F:\OLgameTW\霸王大陆_TW\ArchLord_TW
                                        F:\名将三国\WOF_OB_v0.76.0\HShield
                                        F:\DNA_TW\DNA\system\HSHIELD
                                               
                NP，                GameMon.des
                                        F:\OLgameTW\霸王大陆_TW\ArchLord_TW
                                        F:\aion\永恒之塔\bin32\GameGuard
                                        E:\OLGame\奇迹传说\MU_Blue\GameGuard                                
                GPK，                GPK
                                        F:\盛大网络龙之谷CN\龙之谷
                                        F:\魔界2TW\mw2_bin
                HP，                HProtect.exe
                                        E:\征途2
                Xtrap，        XTrap.xt
                                        E:\OLGame\精灵乐章\精灵乐章
                                        F:\OLgameTW\聖魔之血\launcher       
                                         E:\OLGame\剑狐\XTrap
                                         E:\OLGame\创世纪Aika_台湾\AIKATW                                                 F:\OLgameTW\聖魔之血\client
                Apollo
                                        E:\OLGame\露娜\LUNA

牛牛。我专门半夜起来。。我一个小屌丝。还让大牛等。简直是不想活了……

我截一下图。放上来。

你帮忙分析一下。

我放个图。新建文件夹是我的OD.

其他的都是游戏解压后的文件。

上传的附件：

• QQ图片20130623003020.jpg （28.61kb，2次下载）

拜师学习。加我q751885055

FOSOM大牛。最近在忙吗？

一直没你的信了呢……

fosom大神……出现吧…………

原来用apex的越来越多了~

我是用peid查询adobereader

怎么看不出来什么东西

求指点

不知道用什么语言写的都

adobereader 没有加壳。

牛人，求QQ