[讨论]国产APEX_2,封死无数小白。求大神、教主级大湿指导。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]国产APEX_2,封死无数小白。求大神、教主级大湿指导。

发表于: 2015-8-31 17:04 12007

[讨论]国产APEX_2,封死无数小白。求大神、教主级大湿指导。

qqwawzymu

2015-8-31 17:04

12007

上次摘要：http://bbs.pediy.com/showthread.php?t=179537&highlight=apex

apex 主要检查在于多开(虚拟机)，就算你不让它加载驱动它一样允许游戏运行
现在小公司基本都用上了apex，因为它够猥琐
（比如某道）。它连apex的驱动也不上，让你无从判断。

感觉不甘心，所有再战aepx。
现在的apex 基本都更新带有心跳包，不能像老版本直接对强硬剥离。
和大多数保护一样是由线程启动，但恶心的是那会创建几个线程互相校验。
内部函数也加载了花代码（不清楚是否VM的效果，小白无从判断）。

附加：如果单单对游戏数据查找，可以强硬剥离后找，但手要快，因为它几分钟就会断线。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・3

免费・0

支持

最新回复 (27) 1 2 ▶
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 2 楼不是有SDK吗？ 2015-8-31 17:14 0
qqwawzymu 雪币： 639 活跃值： (1192) 能力值： ( LV2，RANK：15 ) 在线值：发帖 40 回帖 284 粉丝 3 关注私信	qqwawzymu 3 楼那有SDK呢？ 2015-8-31 17:17 0
川美雪币： 144 活跃值： (178) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 279 粉丝 0 关注私信	川美 4 楼期待有高手出来 2015-8-31 22:48 0
iJieMi 雪币： 100 活跃值： (64) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 54 粉丝 4 关注私信	iJieMi 2 5 楼顶点唯峰的东西? 这家保护的游戏很多一堆漏洞单开就高产了 2015-9-1 09:18 0
qqwawzymu 雪币： 639 活跃值： (1192) 能力值： ( LV2，RANK：15 ) 在线值：发帖 40 回帖 284 粉丝 3 关注私信	qqwawzymu 6 楼漏洞是属于游戏内部的事情嘛。他的通信循环中如果其中一环掉它就直接掉线，这种循环检查应该怎么破解呢？ 2015-9-1 10:11 0
aliu 雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 61 粉丝 0 关注私信	aliu 7 楼建立了连接搞清楚加密，有序列的设置发包序列，伪伪造造的没有不透风的墙啊。 2015-9-1 10:32 0
fnp902003 雪币： 206 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 146 粉丝 0 关注私信	fnp902003 8 楼我就是来看看的,插不上嘴~~~~ 2015-9-1 15:15 0
qqwawzymu 雪币： 639 活跃值： (1192) 能力值： ( LV2，RANK：15 ) 在线值：发帖 40 回帖 284 粉丝 3 关注私信	qqwawzymu 9 楼加密的通信。。要搞清楚不是这么容易的吧。感觉是一条弯路！ 2015-9-1 18:30 0
青椒土豆雪币： 3 活跃值： (369) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	青椒土豆 10 楼 APEX的东西只要你用心去分析，会发现一点也不难 2015-9-1 18:41 0
qqwawzymu 雪币： 639 活跃值： (1192) 能力值： ( LV2，RANK：15 ) 在线值：发帖 40 回帖 284 粉丝 3 关注私信	qqwawzymu 11 楼感觉已经很用心了，一直没有领悟窍门。。。。 2015-9-1 22:42 0
qqwawzymu 雪币： 639 活跃值： (1192) 能力值： ( LV2，RANK：15 ) 在线值：发帖 40 回帖 284 粉丝 3 关注私信	qqwawzymu 12 楼每日更新疑问：apex 内部会和 Game 内部做沟通，当Game 登陆成功启动Apex 后它会先沟通如果判断建立不成功就会断开。那要怎么才能让它不断呢？ 2015-9-2 17:06 0
qqwawzymu 雪币： 639 活跃值： (1192) 能力值： ( LV2，RANK：15 ) 在线值：发帖 40 回帖 284 粉丝 3 关注私信	qqwawzymu 13 楼没人能指点一下吗？？？？心跳难道要自己加密发包？？？ 2015-9-11 09:44 0
prisonerGG 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 0 关注私信	prisonerGG 14 楼强制剥离几分钟后会掉线吗?附加了OD 之后先去分析一下为什么掉线,看懂了之后写个假的apex保持通讯就可以了.或者直接注入到游戏中新开进程,伪装成apex. 2015-9-11 09:57 0
hulucc 雪币： 81 活跃值： (100) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 15 楼掉线是因为游戏服务器主动把把你T了，APEX的服务端和网游游戏服务器是连携的，一定时间未收到来自客户端的心跳包就T 想要模拟APEX没有那么简单，APEX本地客户端分成3部分，一部分负责网络通信，垃圾填充加私有加密后通过游戏的SOCKET发送心跳，另一部分是游戏保护端，把检测信息组包后3DES加密后发送给网络通信端，再由网络通信端发出，还有就是驱动端驱动端和游戏保护端一个道理然而游戏保护端和驱动端组包过程保护过程都是有私有虚拟机加密的（只有变异膨胀，没有VM_HANDLE）所以要全部分析完再写代码模拟不是一件简单的事情 2015-9-11 17:04 0
qqwawzymu 雪币： 639 活跃值： (1192) 能力值： ( LV2，RANK：15 ) 在线值：发帖 40 回帖 284 粉丝 3 关注私信	qqwawzymu 16 楼模拟感觉也是不可能或者难道很大。通信端会创建检测线程，如果不让创建（估计是创建后写入了什么）也会直接死掉。。。无法得知创建成功后究竟发送什么数据。所以有没办法让它不检测呢？ 2015-9-13 16:15 0
Demonyl 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	Demonyl 17 楼模拟心跳包通讯并不是一个好办法。 apex是获取了机器硬件信息来与服务器通讯，应该是检测该硬件下是否登录状态的账号。从而判断多开的。可以试试hook获取硬件信息的api，返回随机硬件信息来绕过他的多开检测。 2015-9-15 16:58 0
qqwawzymu 雪币： 639 活跃值： (1192) 能力值： ( LV2，RANK：15 ) 在线值：发帖 40 回帖 284 粉丝 3 关注私信	qqwawzymu 18 楼检测的线程有检测其它进程和模块。就算HOOK 硬件后它一样会检测到。如果直接在检测进程api 直接返回那样它也会几分钟后断。。。。 2015-9-16 23:39 0
大sa猫雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 25 粉丝 0 关注私信	大sa猫 19 楼 http://www.pudn.com/downloads556/sourcecode/windows/system/detail2291554.html 2015-9-18 00:27 0
qqwawzymu 雪币： 639 活跃值： (1192) 能力值： ( LV2，RANK：15 ) 在线值：发帖 40 回帖 284 粉丝 3 关注私信	qqwawzymu 20 楼这个就是出资看雪的啊。。。大体的思路可以清晰的知道，但要如何从中修改是最大的难题！ 2015-9-22 14:37 0
qqwawzymu 雪币： 639 活跃值： (1192) 能力值： ( LV2，RANK：15 ) 在线值：发帖 40 回帖 284 粉丝 3 关注私信	qqwawzymu 21 楼大婶，哪去呢？ 2015-10-5 11:59 0
hulucc 雪币： 81 活跃值： (100) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 22 楼实际的开多检测点有好几个，靠猜是猜不全的，最好的办法还是读通讯代码 2015-10-9 15:10 0
qqwawzymu 雪币： 639 活跃值： (1192) 能力值： ( LV2，RANK：15 ) 在线值：发帖 40 回帖 284 粉丝 3 关注私信	qqwawzymu 23 楼如果能一一找出多开检查点慢慢过滤也是可以的。但好像没什么思路！ 2015-10-10 14:07 0
七月栀子雪币： 64 能力值： (RANK：10 ) 在线值：发帖 9 回帖 70 粉丝 0 关注私信	七月栀子 24 楼能走LSP的就LSP，搞不定的就开始PPTP、 2015-10-11 13:23 0
小陈ccy 雪币： 9 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 39 粉丝 0 关注私信	小陈ccy 25 楼看见了吗！！ 2015-10-11 23:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

qqwawzymu

发帖

284

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (27) 1 2 ▶
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 2 楼不是有SDK吗？ 2015-8-31 17:14 0
qqwawzymu 雪币： 639 活跃值： (1192) 能力值： ( LV2，RANK：15 ) 在线值：发帖 40 回帖 284 粉丝 3 关注私信	qqwawzymu 3 楼那有SDK呢？ 2015-8-31 17:17 0
川美雪币： 144 活跃值： (178) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 279 粉丝 0 关注私信	川美 4 楼期待有高手出来 2015-8-31 22:48 0
iJieMi 雪币： 100 活跃值： (64) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 54 粉丝 4 关注私信	iJieMi 2 5 楼顶点唯峰的东西? 这家保护的游戏很多一堆漏洞单开就高产了 2015-9-1 09:18 0
qqwawzymu 雪币： 639 活跃值： (1192) 能力值： ( LV2，RANK：15 ) 在线值：发帖 40 回帖 284 粉丝 3 关注私信	qqwawzymu 6 楼漏洞是属于游戏内部的事情嘛。他的通信循环中如果其中一环掉它就直接掉线，这种循环检查应该怎么破解呢？ 2015-9-1 10:11 0
aliu 雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 61 粉丝 0 关注私信	aliu 7 楼建立了连接搞清楚加密，有序列的设置发包序列，伪伪造造的没有不透风的墙啊。 2015-9-1 10:32 0
fnp902003 雪币： 206 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 146 粉丝 0 关注私信	fnp902003 8 楼我就是来看看的,插不上嘴~~~~ 2015-9-1 15:15 0
qqwawzymu 雪币： 639 活跃值： (1192) 能力值： ( LV2，RANK：15 ) 在线值：发帖 40 回帖 284 粉丝 3 关注私信	qqwawzymu 9 楼加密的通信。。要搞清楚不是这么容易的吧。感觉是一条弯路！ 2015-9-1 18:30 0
青椒土豆雪币： 3 活跃值： (369) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	青椒土豆 10 楼 APEX的东西只要你用心去分析，会发现一点也不难 2015-9-1 18:41 0
qqwawzymu 雪币： 639 活跃值： (1192) 能力值： ( LV2，RANK：15 ) 在线值：发帖 40 回帖 284 粉丝 3 关注私信	qqwawzymu 11 楼感觉已经很用心了，一直没有领悟窍门。。。。 2015-9-1 22:42 0
qqwawzymu 雪币： 639 活跃值： (1192) 能力值： ( LV2，RANK：15 ) 在线值：发帖 40 回帖 284 粉丝 3 关注私信	qqwawzymu 12 楼每日更新疑问：apex 内部会和 Game 内部做沟通，当Game 登陆成功启动Apex 后它会先沟通如果判断建立不成功就会断开。那要怎么才能让它不断呢？ 2015-9-2 17:06 0
qqwawzymu 雪币： 639 活跃值： (1192) 能力值： ( LV2，RANK：15 ) 在线值：发帖 40 回帖 284 粉丝 3 关注私信	qqwawzymu 13 楼没人能指点一下吗？？？？心跳难道要自己加密发包？？？ 2015-9-11 09:44 0
prisonerGG 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 0 关注私信	prisonerGG 14 楼强制剥离几分钟后会掉线吗?附加了OD 之后先去分析一下为什么掉线,看懂了之后写个假的apex保持通讯就可以了.或者直接注入到游戏中新开进程,伪装成apex. 2015-9-11 09:57 0
hulucc 雪币： 81 活跃值： (100) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 15 楼掉线是因为游戏服务器主动把把你T了，APEX的服务端和网游游戏服务器是连携的，一定时间未收到来自客户端的心跳包就T 想要模拟APEX没有那么简单，APEX本地客户端分成3部分，一部分负责网络通信，垃圾填充加私有加密后通过游戏的SOCKET发送心跳，另一部分是游戏保护端，把检测信息组包后3DES加密后发送给网络通信端，再由网络通信端发出，还有就是驱动端驱动端和游戏保护端一个道理然而游戏保护端和驱动端组包过程保护过程都是有私有虚拟机加密的（只有变异膨胀，没有VM_HANDLE）所以要全部分析完再写代码模拟不是一件简单的事情 2015-9-11 17:04 0
qqwawzymu 雪币： 639 活跃值： (1192) 能力值： ( LV2，RANK：15 ) 在线值：发帖 40 回帖 284 粉丝 3 关注私信	qqwawzymu 16 楼模拟感觉也是不可能或者难道很大。通信端会创建检测线程，如果不让创建（估计是创建后写入了什么）也会直接死掉。。。无法得知创建成功后究竟发送什么数据。所以有没办法让它不检测呢？ 2015-9-13 16:15 0
Demonyl 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	Demonyl 17 楼模拟心跳包通讯并不是一个好办法。 apex是获取了机器硬件信息来与服务器通讯，应该是检测该硬件下是否登录状态的账号。从而判断多开的。可以试试hook获取硬件信息的api，返回随机硬件信息来绕过他的多开检测。 2015-9-15 16:58 0
qqwawzymu 雪币： 639 活跃值： (1192) 能力值： ( LV2，RANK：15 ) 在线值：发帖 40 回帖 284 粉丝 3 关注私信	qqwawzymu 18 楼检测的线程有检测其它进程和模块。就算HOOK 硬件后它一样会检测到。如果直接在检测进程api 直接返回那样它也会几分钟后断。。。。 2015-9-16 23:39 0
大sa猫雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 25 粉丝 0 关注私信	大sa猫 19 楼 http://www.pudn.com/downloads556/sourcecode/windows/system/detail2291554.html 2015-9-18 00:27 0
qqwawzymu 雪币： 639 活跃值： (1192) 能力值： ( LV2，RANK：15 ) 在线值：发帖 40 回帖 284 粉丝 3 关注私信	qqwawzymu 20 楼这个就是出资看雪的啊。。。大体的思路可以清晰的知道，但要如何从中修改是最大的难题！ 2015-9-22 14:37 0
qqwawzymu 雪币： 639 活跃值： (1192) 能力值： ( LV2，RANK：15 ) 在线值：发帖 40 回帖 284 粉丝 3 关注私信	qqwawzymu 21 楼大婶，哪去呢？ 2015-10-5 11:59 0
hulucc 雪币： 81 活跃值： (100) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 22 楼实际的开多检测点有好几个，靠猜是猜不全的，最好的办法还是读通讯代码 2015-10-9 15:10 0
qqwawzymu 雪币： 639 活跃值： (1192) 能力值： ( LV2，RANK：15 ) 在线值：发帖 40 回帖 284 粉丝 3 关注私信	qqwawzymu 23 楼如果能一一找出多开检查点慢慢过滤也是可以的。但好像没什么思路！ 2015-10-10 14:07 0
七月栀子雪币： 64 能力值： (RANK：10 ) 在线值：发帖 9 回帖 70 粉丝 0 关注私信	七月栀子 24 楼能走LSP的就LSP，搞不定的就开始PPTP、 2015-10-11 13:23 0
小陈ccy 雪币： 9 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 39 粉丝 0 关注私信	小陈ccy 25 楼看见了吗！！ 2015-10-11 23:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复