首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
软件逆向
发新帖
3
0
[求助]TP是怎么检测到CE.OD.XT的?
发表于: 2013-6-30 19:06
16216
[求助]TP是怎么检测到CE.OD.XT的?
文夏之
2013-6-30 19:06
16216
开游戏,开CE,等一会TP就说
安全系统检测到游戏环境异常,请重启机器后再登陆游戏
它是怎么检测到的?
TP Hook了NtOpenThread NtOpenProcess KiAttachProcess NtReadVirtualMemory NtWriteVirtualMemory debugport清零 等还有别的什么的处理,是和这些处理有关,还是别的什么的?
求教啊!!!
[招生]科锐逆向工程师培训(2025年3月11日实地,远程教学同时开班, 第52期)!
收藏
・
3
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
12
)
Sirna
雪 币:
37
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
6
回帖
26
粉丝
0
关注
私信
Sirna
2
楼
看看,顶起
2013-6-30 19:38
0
伏特加
雪 币:
100
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
7
回帖
45
粉丝
0
关注
私信
伏特加
3
楼
窗口,不是内存你hook了几个无辜的函数
2013-6-30 19:43
0
文夏之
雪 币:
24
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
4
回帖
37
粉丝
0
关注
私信
文夏之
4
楼
它是怎么弄的?详细点呗
2013-6-30 20:13
0
IDGHOST
雪 币:
115
活跃值:
(46)
能力值:
( LV4,RANK:40 )
在线值:
发帖
16
回帖
197
粉丝
1
关注
私信
IDGHOST
5
楼
虽然TP不太清楚,但我知道HS会枚举系统的EPROCESS,它判断的是进程名(应该还有窗口组件标题)
2013-6-30 23:23
0
dadudedidi
雪 币:
185
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
9
回帖
40
粉丝
0
关注
私信
dadudedidi
6
楼
过保护 看起来不是很容易呀
2013-7-3 17:13
0
文夏之
雪 币:
24
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
4
回帖
37
粉丝
0
关注
私信
文夏之
7
楼
求CE过TP非法检测啊
2013-7-6 15:29
0
ttstation
雪 币:
1113
活跃值:
(696)
能力值:
( LV2,RANK:10 )
在线值:
发帖
0
回帖
160
粉丝
1
关注
私信
ttstation
8
楼
貌似,r3检测线程,处理掉应该可以
2013-7-6 16:28
0
文夏之
雪 币:
24
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
4
回帖
37
粉丝
0
关注
私信
文夏之
9
楼
我是想知道TP的检测是怎样的一个流程
综合上边的就是:TP有一个线程时时检测当前的窗口或标题或进程,通过特征码比较,看是否非法
求明白的指点指点
2013-7-6 17:17
0
IDGHOST
雪 币:
115
活跃值:
(46)
能力值:
( LV4,RANK:40 )
在线值:
发帖
16
回帖
197
粉丝
1
关注
私信
IDGHOST
10
楼
你挂掉r3的检测线程,TP也会把游戏挂掉
不单只检测特征码,像dak32.sys这个驱动对tp很显眼的。
2013-7-6 17:23
0
文夏之
雪 币:
24
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
4
回帖
37
粉丝
0
关注
私信
文夏之
11
楼
那该咋办?
和尚老师在KiAttcakProcess动手脚,看得晕晕的
2013-7-6 18:42
0
IDGHOST
雪 币:
115
活跃值:
(46)
能力值:
( LV4,RANK:40 )
在线值:
发帖
16
回帖
197
粉丝
1
关注
私信
IDGHOST
12
楼
之前想到过个简单点的方法暂时忘了,既然不清楚TP怎么通知游戏非法了,那么一步步反检测。
先hook shadow,隐藏CE所有窗口;现在 很多外挂都是动态窗口名,按钮敏感字符分隔开;
2.然后可以句柄表对进程断链,防止被检测特征码(改KiAttcakProcess应该也是这样,TP切换线程来读取)
3.把加载CE驱动的选择去掉,当然还可能检测进程名、附带的动态库。
我想TP还不至于到遍历系统所有的已加载模块的地步。
2013-7-6 19:21
0
cqzj70
雪 币:
77
活跃值:
(53)
能力值:
( LV2,RANK:10 )
在线值:
发帖
24
回帖
325
粉丝
0
关注
私信
cqzj70
13
楼
既然楼主看过和尚老师的视频,就应该知道怎样过TP呀,讲的横清楚了
2013-7-7 07:35
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
文夏之
4
发帖
37
回帖
10
RANK
关注
私信
他的文章
[求助]构建的KiAttchProcess,求解惑
8057
[求助]VC++6.0 无法响应,同Visual Assist X有冲突
11543
[求助]error LNK2019,变量在函数内外有区别
3534
[求助]TP是怎么检测到CE.OD.XT的?
16217
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
赞赏
×
雪币:
+
留言:
快捷留言
非常支持你的观点!
这个讨论对我很有帮助,谢谢!
感谢你分享这么好的资源!
谢谢你的细致分析,受益匪浅!
感谢你的积极参与,期待更多精彩内容!
感谢你的贡献,论坛因你而更加精彩!
你的分享对大家帮助很大,非常感谢!
期待更多优质内容的分享,论坛有你更精彩!
你的帖子非常有用,感谢分享!
请遵守论坛规则,避免发布广告内容!
请注意发帖规范,保持良好的讨论环境!
为你点赞!
返回
顶部
账号登录
验证码登录
×
登 录
微信一键登录
获取验证码
登 录
忘记密码?
没有账号?立即免费注册
使用以下账号登录
我已同意
《看雪服务条款》
《看雪课程免责声明》
《看雪隐私政策》
×
求助问答申诉
举报此帖
×
申请推荐此帖
×
×
Close
游客下载提示
×
1.请先关注公众号。
2.点击菜单"更多"。
3.选择获取下载码。
