奕奕平台检测那点事-软件逆向-看雪-安全社区|安全招聘|kanxue.com

奕奕平台检测那点事

发表于: 2013-6-24 19:27 58482

奕奕平台检测那点事

小白壹个

2013-6-24 19:27

58482

查看主题内容

收藏・41

免费・5

支持

最新回复 (99) ◀ 1 2 3 4 ▶
anywhere杨雪币： 110 活跃值： (527) 能力值： ( LV4，RANK：40 ) 在线值：发帖 56 回帖 423 粉丝 3 关注私信	anywhere杨 51 楼这尼妹，不是跟我处理VS处弊的方法一样么。Reload Game.dll到基他地址。那获取这个地址再修改那不一样么。。遍历线程这个就恶心了。修改EIP？这个有什么用。直接跳转就OK了。 2013-7-22 08:12 0
evilor 雪币： 297 活跃值： (265) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 52 楼呼叫楼主，被cq潜了？ 2013-7-22 09:29 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 53 楼尼玛..终于正式会员了.make下... 我简单的说明11检查.. 1.game的指针crc 2.readprocessmemory 3.NtQueryVirtualMemory(判断副本game.dll) 4.驱动层readprocessmemory(检测后会被内容返回给11xp) 5.硬件断点检查 6.esp检查(ping 小地图调用了魔兽的call 会保存esp 所以呢...) 7.检查TlsGetValue HOOK(魔兽调用这个API,可以HOOK它来进行小地图) 7.特征检查,最恶心了. 8.据说有一百多种...能彻底搞死11的我看就只有一个办法了,把它11xp线程停了,然后模拟心跳. 2013-7-23 23:37 0
evilor 雪币： 297 活跃值： (265) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 54 楼楼主人呢！！！！！！！！！！！！！！！！！！ 2013-7-24 18:14 0
youye 雪币： 1594 活跃值： (113) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	youye 55 楼下面呢，下面没有了？ 2013-7-25 19:58 0
IamHuskar 雪币： 1392 活跃值： (5142) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 67 关注私信	IamHuskar 4 56 楼别太心急啊楼主还在伤脑筋呢 2013-7-25 20:12 0
三秋叶雪币： 226 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	三秋叶 57 楼居然有特征检查 2013-7-27 20:26 0
haodawei 雪币： 171 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 141 粉丝 0 关注私信	haodawei 58 楼这个方法想到了，但是有个问题啊，你想11调用的时候压入堆栈的是6fxxxxxx,然后我们suspendthread，修改eip到修改的game.dll假如是5fxxxxxx开头的，但是当这个call运行完毕以后从堆栈出来的还是6fxxxxxx啊，又回到以前的game.dll的内存区域了是吧 2013-9-10 07:08 0
flukeshen 雪币： 82 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	flukeshen 59 楼兄弟牛人。 2013-9-10 10:08 0
tigerwood 雪币： 1906 活跃值： (712) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 177 粉丝 0 关注私信	tigerwood 60 楼等待楼主发布，呵呵 2013-9-10 10:25 0
wuzhiwen 雪币： 281 活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 135 粉丝 0 关注私信	wuzhiwen 61 楼 11也有用到驱动？！我怎么在xuetr看不到呢？？？他是怎么隐藏驱动的？ 2013-9-10 11:13 0
yarpee 雪币： 343 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 156 粉丝 0 关注私信	yarpee 1 62 楼 V大一句话茅塞顿开 2013-9-10 11:42 0
yarpee 雪币： 343 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 156 粉丝 0 关注私信	yarpee 1 63 楼 LZ继续爆料 2013-9-10 11:59 0
haodawei 雪币： 171 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 141 粉丝 0 关注私信	haodawei 64 楼 od CreateFileA writeFIle 写入了一个tmp文件就是驱动，好像是这样啊！ 2013-9-11 21:32 0
zhidd 雪币： 72 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 109 粉丝 1 关注私信	zhidd 65 楼小白壹个请更新谢谢看雪有你更精彩上传的附件：未命名.jpg （131.13kb，86次下载） 2013-9-14 13:40 0
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 66 楼 HOOK ntWriteMemory 是ntdll里边的符号，还是R3的 2013-9-15 09:25 0
junhaha 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	junhaha 67 楼楼主啊，等你等的好辛苦，快快继续爆料啊 2013-9-17 15:15 0
稻草人Z 雪币： 680 活跃值： (68) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 138 粉丝 1 关注私信	稻草人Z 2 68 楼 mark 2013-9-19 18:41 0
wuzhiwen 雪币： 281 活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 135 粉丝 0 关注私信	wuzhiwen 69 楼 11平台检测通杀：Reload Game.dll到其他地址，遍历线程，suspend自己之外的全部线程，然后修改所有eip在game.dll里的线程的Eip到新的game.dll区域，然后修改新的game.dll内存区域的代码。然后激活线程，继续走起。同样的手段，其实也可以用于其他游戏，举一反三... 大蛇丸说的这方法很妙，但就好像前面的人提出的问题： 11调用的时候压入堆栈的是6fxxxxxx,然后我们suspendthread，修改eip到修改的game.dll假如是5fxxxxxx开头的，但是当这个call运行完毕以后从堆栈出来的还是6fxxxxxx啊，又回到以前的game.dll的内存区域了。这个怎么解决的？？ 2013-9-29 20:14 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 70 楼我是直接在加载阶段干活的~~ 2013-9-30 12:02 0
wuzhiwen 雪币： 281 活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 135 粉丝 0 关注私信	wuzhiwen 71 楼原来是这样~ 我是在war3运行后，修改了eip，用od调试发现war3又通过ret回到game.dll了 2013-9-30 13:31 0
wuzhiwen 雪币： 281 活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 135 粉丝 0 关注私信	wuzhiwen 72 楼弄了好久都不行，既然你在加载时弄的魔兽，那也没有必要改eip啊，当dll运行得好好的，修改eip这方法是不可行的，有太多相关的东西要改了吧 2013-9-30 16:57 0
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 73 楼 HOOK 应该可以解决 2013-10-23 14:49 0
呵呵sd 雪币： 8 活跃值： (190) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	呵呵sd 74 楼看这个帖子学到了很多。。。我现在的方法还是干线程。。。不停掉线程也能让他检测失效的，当然方法比较猥琐。。。不是自己要用的话就公开了。。。。。 2014-2-22 23:35 0
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 75 楼我们都是打酱油的，路过看看，我以前写过一个。用硬断的全图，配合一下r0反检测，看来楼上很专业 2014-3-28 23:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

小白壹个

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (99) ◀ 1 2 3 4 ▶
anywhere杨雪币： 110 活跃值： (527) 能力值： ( LV4，RANK：40 ) 在线值：发帖 56 回帖 423 粉丝 3 关注私信	anywhere杨 51 楼这尼妹，不是跟我处理VS处弊的方法一样么。Reload Game.dll到基他地址。那获取这个地址再修改那不一样么。。遍历线程这个就恶心了。修改EIP？这个有什么用。直接跳转就OK了。 2013-7-22 08:12 0
evilor 雪币： 297 活跃值： (265) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 52 楼呼叫楼主，被cq潜了？ 2013-7-22 09:29 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 53 楼尼玛..终于正式会员了.make下... 我简单的说明11检查.. 1.game的指针crc 2.readprocessmemory 3.NtQueryVirtualMemory(判断副本game.dll) 4.驱动层readprocessmemory(检测后会被内容返回给11xp) 5.硬件断点检查 6.esp检查(ping 小地图调用了魔兽的call 会保存esp 所以呢...) 7.检查TlsGetValue HOOK(魔兽调用这个API,可以HOOK它来进行小地图) 7.特征检查,最恶心了. 8.据说有一百多种...能彻底搞死11的我看就只有一个办法了,把它11xp线程停了,然后模拟心跳. 2013-7-23 23:37 0
evilor 雪币： 297 活跃值： (265) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 54 楼楼主人呢！！！！！！！！！！！！！！！！！！ 2013-7-24 18:14 0
youye 雪币： 1594 活跃值： (113) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	youye 55 楼下面呢，下面没有了？ 2013-7-25 19:58 0
IamHuskar 雪币： 1392 活跃值： (5142) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 67 关注私信	IamHuskar 4 56 楼别太心急啊楼主还在伤脑筋呢 2013-7-25 20:12 0
三秋叶雪币： 226 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	三秋叶 57 楼居然有特征检查 2013-7-27 20:26 0
haodawei 雪币： 171 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 141 粉丝 0 关注私信	haodawei 58 楼这个方法想到了，但是有个问题啊，你想11调用的时候压入堆栈的是6fxxxxxx,然后我们suspendthread，修改eip到修改的game.dll假如是5fxxxxxx开头的，但是当这个call运行完毕以后从堆栈出来的还是6fxxxxxx啊，又回到以前的game.dll的内存区域了是吧 2013-9-10 07:08 0
flukeshen 雪币： 82 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	flukeshen 59 楼兄弟牛人。 2013-9-10 10:08 0
tigerwood 雪币： 1906 活跃值： (712) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 177 粉丝 0 关注私信	tigerwood 60 楼等待楼主发布，呵呵 2013-9-10 10:25 0
wuzhiwen 雪币： 281 活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 135 粉丝 0 关注私信	wuzhiwen 61 楼 11也有用到驱动？！我怎么在xuetr看不到呢？？？他是怎么隐藏驱动的？ 2013-9-10 11:13 0
yarpee 雪币： 343 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 156 粉丝 0 关注私信	yarpee 1 62 楼 V大一句话茅塞顿开 2013-9-10 11:42 0
yarpee 雪币： 343 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 156 粉丝 0 关注私信	yarpee 1 63 楼 LZ继续爆料 2013-9-10 11:59 0
haodawei 雪币： 171 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 141 粉丝 0 关注私信	haodawei 64 楼 od CreateFileA writeFIle 写入了一个tmp文件就是驱动，好像是这样啊！ 2013-9-11 21:32 0
zhidd 雪币： 72 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 109 粉丝 1 关注私信	zhidd 65 楼小白壹个请更新谢谢看雪有你更精彩上传的附件：未命名.jpg （131.13kb，86次下载） 2013-9-14 13:40 0
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 66 楼 HOOK ntWriteMemory 是ntdll里边的符号，还是R3的 2013-9-15 09:25 0
junhaha 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	junhaha 67 楼楼主啊，等你等的好辛苦，快快继续爆料啊 2013-9-17 15:15 0
稻草人Z 雪币： 680 活跃值： (68) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 138 粉丝 1 关注私信	稻草人Z 2 68 楼 mark 2013-9-19 18:41 0
wuzhiwen 雪币： 281 活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 135 粉丝 0 关注私信	wuzhiwen 69 楼 11平台检测通杀：Reload Game.dll到其他地址，遍历线程，suspend自己之外的全部线程，然后修改所有eip在game.dll里的线程的Eip到新的game.dll区域，然后修改新的game.dll内存区域的代码。然后激活线程，继续走起。同样的手段，其实也可以用于其他游戏，举一反三... 大蛇丸说的这方法很妙，但就好像前面的人提出的问题： 11调用的时候压入堆栈的是6fxxxxxx,然后我们suspendthread，修改eip到修改的game.dll假如是5fxxxxxx开头的，但是当这个call运行完毕以后从堆栈出来的还是6fxxxxxx啊，又回到以前的game.dll的内存区域了。这个怎么解决的？？ 2013-9-29 20:14 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 70 楼我是直接在加载阶段干活的~~ 2013-9-30 12:02 0
wuzhiwen 雪币： 281 活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 135 粉丝 0 关注私信	wuzhiwen 71 楼原来是这样~ 我是在war3运行后，修改了eip，用od调试发现war3又通过ret回到game.dll了 2013-9-30 13:31 0
wuzhiwen 雪币： 281 活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 135 粉丝 0 关注私信	wuzhiwen 72 楼弄了好久都不行，既然你在加载时弄的魔兽，那也没有必要改eip啊，当dll运行得好好的，修改eip这方法是不可行的，有太多相关的东西要改了吧 2013-9-30 16:57 0
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 73 楼 HOOK 应该可以解决 2013-10-23 14:49 0
呵呵sd 雪币： 8 活跃值： (190) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	呵呵sd 74 楼看这个帖子学到了很多。。。我现在的方法还是干线程。。。不停掉线程也能让他检测失效的，当然方法比较猥琐。。。不是自己要用的话就公开了。。。。。 2014-2-22 23:35 0
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 75 楼我们都是打酱油的，路过看看，我以前写过一个。用硬断的全图，配合一下r0反检测，看来楼上很专业 2014-3-28 23:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复