无窗口进程DLL 无控制台无界面文字为何还给封！-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 无窗口进程DLL 无控制台无界面文字为何还给封！ 0.00雪花

发表于: 2014-7-31 08:53 8311

[旧帖] 无窗口进程DLL 无控制台无界面文字为何还给封！ 0.00雪花

guotouck

2014-7-31 08:53

8311

每次都给封然后一直封不改就一直封封到内裤都没了!! 一封了就改源代码段改了代码段特征码肯定就改变然后就可以愉快的挂几天！！怎么解决长期稳定呢！

DLL也使用隐藏DLL了模块无法遍历查看到到底如何检测的！！！

各自定时器各种HOOK 都停止就注入进去！就封杀每次改代码段使特征码改变又可以随便用几天没驱动保护无任何HOOK钩子保护但就是有检测非常好奇是怎么检测的技术！娱乐而已！

各位大哥能不能给点建设性的回答呢！

[课程]FART 脱壳王！加量不加价！FART作者讲授！

收藏・1

免费・0

支持

最新回复 (27) 1 2 ▶
anglehua 雪币： 100 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 89 粉丝 0 关注私信	anglehua 2 楼三无产品。所以要封！ 2014-7-31 09:55 0
lylxd 雪币： 4873 活跃值： (3112) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 253 粉丝 1 关注私信	lylxd 3 楼 11~~~~~ 2014-7-31 10:41 0
binlanone 雪币： 211 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 0 关注私信	binlanone 4 楼 2014-7-31 11:45 0
zenix 雪币： 2393 活跃值： (1387) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 838 粉丝 13 关注私信	zenix 1 5 楼换个立场，你遇到了，也会封。 2014-7-31 12:03 0
kuty 雪币： 52 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 131 粉丝 1 关注私信	kuty 6 楼你的文件应该被上传过或者你在做玩家挂，游戏公司能拿到你版本所以能检测到。无进程无线程无窗口无HOOK 的东西总要有内存。 2014-7-31 12:24 0
xinxinqing 雪币： 1234 活跃值： (282) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 390 粉丝 0 关注私信	xinxinqing 7 楼嘿嘿。一定有没擦干净的地方。 2014-7-31 14:17 0
guotouck 雪币： 35 活跃值： (612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 153 粉丝 1 关注私信	guotouck 8 楼好像游戏会自动上传的但怎么检测的我好奇呢没界面窗口模块又隐藏了 2014-7-31 14:24 0
走起来雪币： 484 活跃值： (972) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 46 粉丝 7 关注私信	走起来 9 楼 11是纯R3程序吗？它本身带驱动吗？ 2014-7-31 14:30 0
guotouck 雪币： 35 活跃值： (612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 153 粉丝 1 关注私信	guotouck 10 楼不带驱动的非常好奇这游戏如何检测娱乐而已！！ 2014-7-31 14:43 0
cshcmq 雪币： 427 活跃值： (458) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 99 粉丝 0 关注私信	cshcmq 11 楼呵呵，mhxy，大家懂的~ 2014-7-31 15:30 0
kuty 雪币： 52 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 131 粉丝 1 关注私信	kuty 12 楼如果是11平台的话游戏部分CALL有钩子的不是正常调用会被发现。而且你代码被分析过你的代码区就在游戏内存区人家遍历内存特征码就可以找到你了。你只能做到自己外挂不被分析，尽量查看自己调用游戏内CALL有没被检测过。有时候游戏会检测可疑对象并不封号，可疑对象会被管理发现，然后你懂的。遍历内存块是最普遍的检查啊。。。为毛你想不通。 2014-7-31 20:02 0
guotouck 雪币： 35 活跃值： (612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 153 粉丝 1 关注私信	guotouck 13 楼但我断ReadMemery 没看到读什么啊你说遍历内存块使用什么函数呢游戏检测CALL不可能因为我都停止全部工程只注入进去过会就封每次都是修改代码段让特征码改变才解决的~ 2014-7-31 20:20 0
kuty 雪币： 52 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 131 粉丝 1 关注私信	kuty 14 楼假如我是DLL我就不需要ReadProcessMemory 直接 mov eax,[123456] 2014-7-31 20:42 0
哥布林雪币： 27 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 123 粉丝 0 关注私信	哥布林 15 楼又是11 2014-7-31 20:55 0
guotouck 雪币： 35 活跃值： (612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 153 粉丝 1 关注私信	guotouck 16 楼 [QUOTE=kuty;1305170]假如我是DLL我就不需要ReadProcessMemory 直接 mov eax,[123456][/QUOTE] 范围我所谓更小了。。使用过免杀的改PE头有效果可不知道怎么永久动态实现 2014-7-31 22:25 0
天涯何处雪币： 44 活跃值： (186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 335 粉丝 1 关注私信	天涯何处 17 楼 LZ最好的办法就是把检测代码给KO了 2014-7-31 22:58 0
guotouck 雪币： 35 活跃值： (612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 153 粉丝 1 关注私信	guotouck 18 楼之前是这样做的但后边又检测了HOOK 就懒得HOOK了 HOOK太多了还是隐藏起来好不过我想问下我现在使用隐藏模块DLL的和她们说的无模块注入有什么区别吗 2014-7-31 23:02 0
举剑问天雪币： 78 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 133 粉丝 0 关注私信	举剑问天 19 楼你看不到模块，不代表检测不到看下内存映射表很容易发现问题 2014-8-1 00:32 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 20 楼你确定重新编译后特征码就完全变了? NO！ 2014-8-1 04:11 0
guotouck 雪币： 35 活跃值： (612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 153 粉丝 1 关注私信	guotouck 21 楼可我注入我乱搞的几个DLL 就没事 2014-8-1 09:50 0
悲剧的小易雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	悲剧的小易 22 楼试下加个驱动伪装下！嘿嘿 2014-8-1 12:43 0
guotouck 雪币： 35 活跃值： (612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 153 粉丝 1 关注私信	guotouck 23 楼游戏无驱动而且我就DLL 都已经注入进去了。 2014-8-1 19:01 0
zhusjm 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	zhusjm 24 楼个人感觉如果没隐藏DLL被封个能是游戏自身发现有不属于自己游戏本身自带的dll存在然后自动封杀..... 如果隐藏了dll还被封杀，可以考虑是否隐藏的很彻底，甚至是否隐藏之前你得动作就已经被其发现。还有游戏自身会不会检查自身的内存，发现不是自己的代码段或者不属于自身的代码会认为有第三方行为然后游戏自我报错上报，或者关闭。 - -这些技术估计你要到游戏开发团队才能看见，真的，很多技术性的东西互联网上完全是没有答案和例子的，那都是去公司以后学的。想想也不奇怪，实力很强大的人都被公司重金收买去了，他不爆料有谁能爆料。很多说法都是道听途说的，要是有人真那么了解游戏的各个方面，他自己为何不能自己开发一个游戏。对吧 2014-8-3 10:15 0
君君寒雪币： 6092 活跃值： (654) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 25 楼应该是内存的校验吧，找到校验patch掉就可以了 2014-8-9 00:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

guotouck

发帖

153

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (27) 1 2 ▶
anglehua 雪币： 100 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 89 粉丝 0 关注私信	anglehua 2 楼三无产品。所以要封！ 2014-7-31 09:55 0
lylxd 雪币： 4873 活跃值： (3112) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 253 粉丝 1 关注私信	lylxd 3 楼 11~~~~~ 2014-7-31 10:41 0
binlanone 雪币： 211 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 0 关注私信	binlanone 4 楼 2014-7-31 11:45 0
zenix 雪币： 2393 活跃值： (1387) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 838 粉丝 13 关注私信	zenix 1 5 楼换个立场，你遇到了，也会封。 2014-7-31 12:03 0
kuty 雪币： 52 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 131 粉丝 1 关注私信	kuty 6 楼你的文件应该被上传过或者你在做玩家挂，游戏公司能拿到你版本所以能检测到。无进程无线程无窗口无HOOK 的东西总要有内存。 2014-7-31 12:24 0
xinxinqing 雪币： 1234 活跃值： (282) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 390 粉丝 0 关注私信	xinxinqing 7 楼嘿嘿。一定有没擦干净的地方。 2014-7-31 14:17 0
guotouck 雪币： 35 活跃值： (612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 153 粉丝 1 关注私信	guotouck 8 楼好像游戏会自动上传的但怎么检测的我好奇呢没界面窗口模块又隐藏了 2014-7-31 14:24 0
走起来雪币： 484 活跃值： (972) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 46 粉丝 7 关注私信	走起来 9 楼 11是纯R3程序吗？它本身带驱动吗？ 2014-7-31 14:30 0
guotouck 雪币： 35 活跃值： (612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 153 粉丝 1 关注私信	guotouck 10 楼不带驱动的非常好奇这游戏如何检测娱乐而已！！ 2014-7-31 14:43 0
cshcmq 雪币： 427 活跃值： (458) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 99 粉丝 0 关注私信	cshcmq 11 楼呵呵，mhxy，大家懂的~ 2014-7-31 15:30 0
kuty 雪币： 52 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 131 粉丝 1 关注私信	kuty 12 楼如果是11平台的话游戏部分CALL有钩子的不是正常调用会被发现。而且你代码被分析过你的代码区就在游戏内存区人家遍历内存特征码就可以找到你了。你只能做到自己外挂不被分析，尽量查看自己调用游戏内CALL有没被检测过。有时候游戏会检测可疑对象并不封号，可疑对象会被管理发现，然后你懂的。遍历内存块是最普遍的检查啊。。。为毛你想不通。 2014-7-31 20:02 0
guotouck 雪币： 35 活跃值： (612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 153 粉丝 1 关注私信	guotouck 13 楼但我断ReadMemery 没看到读什么啊你说遍历内存块使用什么函数呢游戏检测CALL不可能因为我都停止全部工程只注入进去过会就封每次都是修改代码段让特征码改变才解决的~ 2014-7-31 20:20 0
kuty 雪币： 52 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 131 粉丝 1 关注私信	kuty 14 楼假如我是DLL我就不需要ReadProcessMemory 直接 mov eax,[123456] 2014-7-31 20:42 0
哥布林雪币： 27 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 123 粉丝 0 关注私信	哥布林 15 楼又是11 2014-7-31 20:55 0
guotouck 雪币： 35 活跃值： (612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 153 粉丝 1 关注私信	guotouck 16 楼 [QUOTE=kuty;1305170]假如我是DLL我就不需要ReadProcessMemory 直接 mov eax,[123456][/QUOTE] 范围我所谓更小了。。使用过免杀的改PE头有效果可不知道怎么永久动态实现 2014-7-31 22:25 0
天涯何处雪币： 44 活跃值： (186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 335 粉丝 1 关注私信	天涯何处 17 楼 LZ最好的办法就是把检测代码给KO了 2014-7-31 22:58 0
guotouck 雪币： 35 活跃值： (612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 153 粉丝 1 关注私信	guotouck 18 楼之前是这样做的但后边又检测了HOOK 就懒得HOOK了 HOOK太多了还是隐藏起来好不过我想问下我现在使用隐藏模块DLL的和她们说的无模块注入有什么区别吗 2014-7-31 23:02 0
举剑问天雪币： 78 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 133 粉丝 0 关注私信	举剑问天 19 楼你看不到模块，不代表检测不到看下内存映射表很容易发现问题 2014-8-1 00:32 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 20 楼你确定重新编译后特征码就完全变了? NO！ 2014-8-1 04:11 0
guotouck 雪币： 35 活跃值： (612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 153 粉丝 1 关注私信	guotouck 21 楼可我注入我乱搞的几个DLL 就没事 2014-8-1 09:50 0
悲剧的小易雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	悲剧的小易 22 楼试下加个驱动伪装下！嘿嘿 2014-8-1 12:43 0
guotouck 雪币： 35 活跃值： (612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 153 粉丝 1 关注私信	guotouck 23 楼游戏无驱动而且我就DLL 都已经注入进去了。 2014-8-1 19:01 0
zhusjm 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	zhusjm 24 楼个人感觉如果没隐藏DLL被封个能是游戏自身发现有不属于自己游戏本身自带的dll存在然后自动封杀..... 如果隐藏了dll还被封杀，可以考虑是否隐藏的很彻底，甚至是否隐藏之前你得动作就已经被其发现。还有游戏自身会不会检查自身的内存，发现不是自己的代码段或者不属于自身的代码会认为有第三方行为然后游戏自我报错上报，或者关闭。 - -这些技术估计你要到游戏开发团队才能看见，真的，很多技术性的东西互联网上完全是没有答案和例子的，那都是去公司以后学的。想想也不奇怪，实力很强大的人都被公司重金收买去了，他不爆料有谁能爆料。很多说法都是道听途说的，要是有人真那么了解游戏的各个方面，他自己为何不能自己开发一个游戏。对吧 2014-8-3 10:15 0
君君寒雪币： 6092 活跃值： (654) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 25 楼应该是内存的校验吧，找到校验patch掉就可以了 2014-8-9 00:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] 无窗口进程DLL 无控制台 无界面文字 为何还给封！ 0.00雪花

[旧帖] 无窗口进程DLL 无控制台无界面文字为何还给封！ 0.00雪花