首页
社区
课程
招聘
奕奕平台检测那点事
发表于: 2013-6-24 19:27 58491

奕奕平台检测那点事

2013-6-24 19:27
58491
收藏
免费 5
支持
分享
最新回复 (99)
雪    币: 110
活跃值: (527)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
51
这尼妹,不是跟我处理VS处弊的方法一样么。Reload Game.dll到基他地址。那获取这个地址再修改那不一样么。。遍历线程这个就恶心了。 修改EIP?这个有什么用。直接跳转就OK了。
2013-7-22 08:12
0
雪    币: 297
活跃值: (265)
能力值: ( LV4,RANK:55 )
在线值:
发帖
回帖
粉丝
52
呼叫楼主,被cq潜了?
2013-7-22 09:29
0
雪    币: 7
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
53
尼玛..终于正式会员了.make下...

我简单的说明11检查..

1.game的指针crc
2.readprocessmemory
3.NtQueryVirtualMemory(判断副本game.dll)
4.驱动层readprocessmemory(检测后会被内容返回给11xp)
5.硬件断点检查
6.esp检查(ping 小地图调用了魔兽的call 会保存esp 所以呢...)
7.检查TlsGetValue HOOK(魔兽调用这个API,可以HOOK它来进行小地图)
7.特征检查,最恶心了.
8.据说有一百多种...能彻底搞死11的我看就只有一个办法了,把它11xp线程停了,然后模拟心跳.
2013-7-23 23:37
0
雪    币: 297
活跃值: (265)
能力值: ( LV4,RANK:55 )
在线值:
发帖
回帖
粉丝
54
楼主人呢!!!!!!!!!!!!!!!!!!
2013-7-24 18:14
0
雪    币: 1594
活跃值: (113)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
55
下面呢,下面没有了?
2013-7-25 19:58
0
雪    币: 1392
活跃值: (5177)
能力值: ( LV13,RANK:240 )
在线值:
发帖
回帖
粉丝
56
别太心急啊楼主还在伤脑筋呢
2013-7-25 20:12
0
雪    币: 226
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
57
居然有特征检查
2013-7-27 20:26
0
雪    币: 171
活跃值: (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
58
这个方法想到了,但是有个问题啊,你想11调用的时候压入堆栈的是6fxxxxxx,然后我们suspendthread,修改eip到修改的game.dll假如是5fxxxxxx开头的,但是当这个call运行完毕以后从堆栈出来的还是6fxxxxxx啊,又回到以前的game.dll的内存区域了是吧
2013-9-10 07:08
0
雪    币: 82
活跃值: (18)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
59
兄弟牛人。
2013-9-10 10:08
0
雪    币: 1906
活跃值: (712)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
60
等待楼主发布,呵呵
2013-9-10 10:25
0
雪    币: 281
活跃值: (192)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
61
11也有用到驱动?!我怎么在xuetr看不到呢???他是怎么隐藏驱动的?
2013-9-10 11:13
0
雪    币: 343
活跃值: (40)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
62
V大一句话茅塞顿开
2013-9-10 11:42
0
雪    币: 343
活跃值: (40)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
63
LZ继续爆料
2013-9-10 11:59
0
雪    币: 171
活跃值: (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
64
od CreateFileA writeFIle 写入了一个tmp文件
就是驱动,好像是这样啊!
2013-9-11 21:32
0
雪    币: 72
活跃值: (87)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
65
小白壹个 请更新 谢谢 看雪 有你更精彩
上传的附件:
2013-9-14 13:40
0
雪    币: 7
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
66
HOOK ntWriteMemory 是ntdll里边的符号,还是R3的
2013-9-15 09:25
0
雪    币: 37
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
67
楼主啊,等你等的好辛苦,快快继续爆料啊
2013-9-17 15:15
0
雪    币: 680
活跃值: (68)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
68
mark
2013-9-19 18:41
0
雪    币: 281
活跃值: (192)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
69
11平台检测通杀:Reload Game.dll到其他地址,遍历线程,suspend自己之外的全部线程,然后修改所有eip在game.dll里的线程的Eip到新的game.dll区域,然后修改新的game.dll内存区域的代码。然后激活线程,继续走起。

同样的手段,其实也可以用于其他游戏,举一反三...

大蛇丸说的这方法很妙,但就好像前面的人提出的问题:
11调用的时候压入堆栈的是6fxxxxxx,然后我们suspendthread,修改eip到修改的game.dll假如是5fxxxxxx开头的,但是当这个call运行完毕以后从堆栈出来的还是6fxxxxxx啊,又回到以前的game.dll的内存区域了。
这个怎么解决的??
2013-9-29 20:14
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
70
我是直接在加载阶段干活的~~
2013-9-30 12:02
0
雪    币: 281
活跃值: (192)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
71
原来是这样~
我是在war3运行后,修改了eip,用od调试发现war3又通过ret回到game.dll了
2013-9-30 13:31
0
雪    币: 281
活跃值: (192)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
72
弄了好久都不行,既然你在加载时弄的魔兽,那也没有必要改eip啊,
当dll运行得好好的,修改eip这方法是不可行的,有太多相关的东西要改了吧
2013-9-30 16:57
0
雪    币: 7
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
73
HOOK 应该可以解决
2013-10-23 14:49
0
雪    币: 8
活跃值: (190)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
74
看这个帖子学到了很多。。。
我现在的方法还是干线程。。。
不停掉线程也能让他检测失效的,当然方法比较猥琐。。。
不是自己要用的话就公开了。。。。。
2014-2-22 23:35
0
雪    币: 7
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
75
我们都是打酱油的,路过看看,我以前写过一个。用 硬断的全图,配合一下r0反检测,看来楼上很专业
2014-3-28 23:24
0
游客
登录 | 注册 方可回帖
返回
//