[讨论]关于暴雪系列游戏安全的探讨！！！-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]关于暴雪系列游戏安全的探讨！！！

发表于: 2016-2-4 00:42 9464

[讨论]关于暴雪系列游戏安全的探讨！！！

小阿弟

2016-2-4 00:42

9464

最近无聊，搞了个暴雪出的经典游戏W O W .

用一般的R3的保护方法做了个辅助工具，来进行所谓的游戏刷金币。

在单开模式下，可以长时间运行(超过3天以上)。单开模式，我可以有效的反检测

但在多号模式下，都是3天之内，直接数据异常，被冻结。

各位有兴趣的朋友，欢迎来指导，祝大家猴年第一时间收到微软win10源码(每个破解爱好者的梦想).

注:-------------->从本人发帖起到现在，已自己成功防御暴雪 Warden扫描。并有效anti....
在此，再次感谢大家回帖，虽然是自己决解的，但还是谢过了！！！

[课程]Linux pwn 探索篇！

收藏・3

免费・0

支持

最新回复 (28) 1 2 ▶
木瓜枫叶雪币： 459 活跃值： (349) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 515 粉丝 6 关注私信	木瓜枫叶 2 2 楼阿弟，多号模式是同IP吗，多号时游戏目录产生多余文件吗，可以看看互斥体（有时候不是限制多开，可以检测到多开），wow 不定时的上传电脑信息的吧，我记得有人说过 2016-2-4 08:39 0
大只狼雪币： 1140 活跃值： (102) 能力值： ( LV4，RANK：48 ) 在线值：发帖 13 回帖 249 粉丝 1 关注私信	大只狼 3 楼嘿嘿，到时我也做个挂打风暴 2016-2-4 12:41 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 4 楼我的多号模式是一台机子多开，这W O W不限制多开，就是有个Warden , 经过一星期至一个月的分析，它只做常规性几十处的代码CRC检验，以及一些违规模块的检测，以上的检测地方，我都处理了(单号模式能长时间运行就是结果)。就是同台机子多开， 3天以内都统一数据异常。 2016-2-4 17:37 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 5 楼风暴也是用暴雪同类的检测模式，多开必数据异常。。。。 2016-2-4 17:38 0
hksoobe 雪币： 245 活跃值： (222) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 74 粉丝 6 关注私信	hksoobe 6 楼你分析的这都不是关键，关键在于客户端上他有一个ShellCode加载器，分20分钟会从服务端上随机下载一段小代码，运行之后把结果返回，这都是有校验的，如果你只是单纯的干掉他的加载器，那就是此地无银三百两马上封号，你必须要分析他是在检测什么，然后得到一段正常情况下的数据让他返回，他的这种ShellCode片段是非常多的，成百上千种，你必须一个一个分析然后正确返回，去年HB有一次大封号就是因为HB虽然过了所有的代码片段，但服务器可以突然换新的检测代码片段，让你防不胜防，当然你可以做个发现新的检测代码片段后马上关闭游戏 2016-2-4 18:13 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 7 楼高手终于来了，欢迎指导啊，祝高手猴年天天邮箱收到微软源码！！！实际上我也觉察到服务器随机发过来的变形检测模块，有过准备捕捉变形检测模块的准备，可是你懂的，它都是随机发过来，不好捕捉。。。。请高手指引方向，方便的话，论坛内消息联系，再次感谢指导！！！！ 2016-2-4 18:46 0
hksoobe 雪币： 245 活跃值： (222) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 74 粉丝 6 关注私信	hksoobe 8 楼我是个人，在逆到这块时发现只有HB这种团队才能做这种事，所以我的建议是开个HB，然后写个什么都不做的HB小脚本，然后你在注入进去做你外挂的事。这样你什么也不用做，但可以享受到他给你带来的保护。 2016-2-4 19:37 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 9 楼用H B保护自己的工具，这样固然好，但是不是有个问题，去年2次大ban , 都是专门针对H B 的，那我不是送上门了。。。？ 2016-2-4 20:16 0
hksoobe 雪币： 245 活跃值： (222) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 74 粉丝 6 关注私信	hksoobe 10 楼这个工程量巨大，不是一两个人可以干的活，所以我放弃了，如果你有大量时间的话也可以搞，纯苦力而已，你也研究到这个地方了，也不需要什么指点了，下面就是大量逆向苦力活了。加油吧！我感觉他的这种检测模式是非常不错的，所以我现在的软件里面也采用这种检测模式了。 2016-2-4 20:29 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 11 楼嗯，对于暴雪的这种检测第三方程序的方法，表示佩服。很灵活，很突然，防不胜防啊！再次感谢高手的指点，恳求留下方便联系的号码(站内联系)，多指点下小弟我，谢谢！！！ 2016-2-4 20:35 0
hksoobe 雪币： 245 活跃值： (222) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 74 粉丝 6 关注私信	hksoobe 12 楼其实就算你搞出来了，你会发现你也和他一样，因为你避免不了他的检测模块的更新，而且如果你关注这个圈子的话，会发现，目前只有HB是过的最好的，其它都是秒蹦的，而且HB也只是阶段性蹦如果你真搞出来了，相信也是一样的，阶段性蹦你一下总比一直蹦你好，效果一样，所以如果你只是想用的话，还不如像我说的用他保护你，如果纯技术研究你可以慢慢花时间把他一个一个的过掉。还有一点你研究的也不错，就是3开以上封杀，这是因为1-3开会认为你是玩家，4开以上就会认为你是工作室，所以现在工作室也是活不下去的，特别是大工作室，3年前还有2000台的工作室，现在只有20台左右的小工作室才可以勉强活下去，很多人都已经转行了。 2016-2-4 20:40 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 13 楼你说的也是好方法，对于后面的多开，我还是有几个笨方法，其中之一就是虚拟系统。独立开号刷。缺点就是消耗大点，还是有方法，各种优化游戏资源，极限降到最低消耗。其他的方法，也类似以上的，都是高消耗的同台机子多开。。。(谁叫咱好这口啊，呵呵)。高手能方便发Q 号联系吗，还有些事情向请你指点啊，或者你加我也行。可以有偿！！！ 2016-2-4 20:56 0
hksoobe 雪币： 245 活跃值： (222) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 74 粉丝 6 关注私信	hksoobe 14 楼我比较忙，也不对外接单，我只研究我自己喜欢的技术，这方面的东西我其实也帮不了你什么，你要加好友就加吧，我已经加你了。 2016-2-4 20:59 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 15 楼为什么好友相互发消息也要50金啊。。。我钱都不够啊 2016-2-4 21:12 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 16 楼本帖已结！！！！！！ 2016-2-6 23:20 0
adjsnyqq 雪币： 35 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 44 粉丝 0 关注私信	adjsnyqq 17 楼你知道WOW那个检测保护是怎么做做到的吗？R3下，载入OD然后检测，然后重启电脑然后就无法附加它的进程没有HOOK 没有R0 2016-2-11 22:28 0
少尉雪币： 2371 活跃值： (304) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 69 粉丝 0 关注私信	少尉 18 楼弱弱的问一句,这种网游,怎么跟?一断就掉线. 2016-2-12 21:12 0
lvguangmin 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 32 粉丝 0 关注私信	lvguangmin 19 楼 mark一下 2016-2-14 11:49 0
眼镜雪币： 198 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 73 粉丝 1 关注私信	眼镜 20 楼暴雪其实。。。你如果不走call函数那些乱七八糟的。。。就开个僵尸进程在那让客户端直接跟服务器通讯。多开其实也没什么。。。 2000台机器不算什么了已经。做欧美魔兽的现在都是5000台起。。。黑号。。。什么乱七八糟的上。。。价格还可以。不过大部分人都是用HB直接来咔嚓~自己写也没啥意思了撒~直接破了HB就行了~ 2016-2-14 14:20 0
zjjhszs 雪币： 6 活跃值： (1509) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 308 粉丝 0 关注私信	zjjhszs 21 楼这是网易的R3检测，对于不懂的很难，对于懂的，太简单， 2016-2-14 14:58 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 22 楼嗯，又一个老牛来了，祝猴年大发啊！！！！ 2016-2-15 03:40 0
打小朋友雪币： 45 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 29 粉丝 0 关注私信	打小朋友 23 楼 mark 2016-2-19 17:10 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 24 楼注:-------------->从本人发帖起到现在，已自己成功防御暴雪 Warden扫描。并有效anti.... 在此，再次感谢大家回帖，虽然是自己决解的，但还是谢过了！！！ 2016-3-10 02:24 0
leoxiu 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	leoxiu 25 楼兄台你好，本人也是搞同款的，关于你上次说的安全隐患冻结我一直没有想明白，我怀疑是行为监测，你觉得有道理吗？怪物黑名单？（虽然事情过去了好久但是很好奇3小时安全隐患冻结） 2017-3-13 03:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

小阿弟

发帖

234

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (28) 1 2 ▶
木瓜枫叶雪币： 459 活跃值： (349) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 515 粉丝 6 关注私信	木瓜枫叶 2 2 楼阿弟，多号模式是同IP吗，多号时游戏目录产生多余文件吗，可以看看互斥体（有时候不是限制多开，可以检测到多开），wow 不定时的上传电脑信息的吧，我记得有人说过 2016-2-4 08:39 0
大只狼雪币： 1140 活跃值： (102) 能力值： ( LV4，RANK：48 ) 在线值：发帖 13 回帖 249 粉丝 1 关注私信	大只狼 3 楼嘿嘿，到时我也做个挂打风暴 2016-2-4 12:41 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 4 楼我的多号模式是一台机子多开，这W O W不限制多开，就是有个Warden , 经过一星期至一个月的分析，它只做常规性几十处的代码CRC检验，以及一些违规模块的检测，以上的检测地方，我都处理了(单号模式能长时间运行就是结果)。就是同台机子多开， 3天以内都统一数据异常。 2016-2-4 17:37 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 5 楼风暴也是用暴雪同类的检测模式，多开必数据异常。。。。 2016-2-4 17:38 0
hksoobe 雪币： 245 活跃值： (222) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 74 粉丝 6 关注私信	hksoobe 6 楼你分析的这都不是关键，关键在于客户端上他有一个ShellCode加载器，分20分钟会从服务端上随机下载一段小代码，运行之后把结果返回，这都是有校验的，如果你只是单纯的干掉他的加载器，那就是此地无银三百两马上封号，你必须要分析他是在检测什么，然后得到一段正常情况下的数据让他返回，他的这种ShellCode片段是非常多的，成百上千种，你必须一个一个分析然后正确返回，去年HB有一次大封号就是因为HB虽然过了所有的代码片段，但服务器可以突然换新的检测代码片段，让你防不胜防，当然你可以做个发现新的检测代码片段后马上关闭游戏 2016-2-4 18:13 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 7 楼高手终于来了，欢迎指导啊，祝高手猴年天天邮箱收到微软源码！！！实际上我也觉察到服务器随机发过来的变形检测模块，有过准备捕捉变形检测模块的准备，可是你懂的，它都是随机发过来，不好捕捉。。。。请高手指引方向，方便的话，论坛内消息联系，再次感谢指导！！！！ 2016-2-4 18:46 0
hksoobe 雪币： 245 活跃值： (222) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 74 粉丝 6 关注私信	hksoobe 8 楼我是个人，在逆到这块时发现只有HB这种团队才能做这种事，所以我的建议是开个HB，然后写个什么都不做的HB小脚本，然后你在注入进去做你外挂的事。这样你什么也不用做，但可以享受到他给你带来的保护。 2016-2-4 19:37 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 9 楼用H B保护自己的工具，这样固然好，但是不是有个问题，去年2次大ban , 都是专门针对H B 的，那我不是送上门了。。。？ 2016-2-4 20:16 0
hksoobe 雪币： 245 活跃值： (222) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 74 粉丝 6 关注私信	hksoobe 10 楼这个工程量巨大，不是一两个人可以干的活，所以我放弃了，如果你有大量时间的话也可以搞，纯苦力而已，你也研究到这个地方了，也不需要什么指点了，下面就是大量逆向苦力活了。加油吧！我感觉他的这种检测模式是非常不错的，所以我现在的软件里面也采用这种检测模式了。 2016-2-4 20:29 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 11 楼嗯，对于暴雪的这种检测第三方程序的方法，表示佩服。很灵活，很突然，防不胜防啊！再次感谢高手的指点，恳求留下方便联系的号码(站内联系)，多指点下小弟我，谢谢！！！ 2016-2-4 20:35 0
hksoobe 雪币： 245 活跃值： (222) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 74 粉丝 6 关注私信	hksoobe 12 楼其实就算你搞出来了，你会发现你也和他一样，因为你避免不了他的检测模块的更新，而且如果你关注这个圈子的话，会发现，目前只有HB是过的最好的，其它都是秒蹦的，而且HB也只是阶段性蹦如果你真搞出来了，相信也是一样的，阶段性蹦你一下总比一直蹦你好，效果一样，所以如果你只是想用的话，还不如像我说的用他保护你，如果纯技术研究你可以慢慢花时间把他一个一个的过掉。还有一点你研究的也不错，就是3开以上封杀，这是因为1-3开会认为你是玩家，4开以上就会认为你是工作室，所以现在工作室也是活不下去的，特别是大工作室，3年前还有2000台的工作室，现在只有20台左右的小工作室才可以勉强活下去，很多人都已经转行了。 2016-2-4 20:40 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 13 楼你说的也是好方法，对于后面的多开，我还是有几个笨方法，其中之一就是虚拟系统。独立开号刷。缺点就是消耗大点，还是有方法，各种优化游戏资源，极限降到最低消耗。其他的方法，也类似以上的，都是高消耗的同台机子多开。。。(谁叫咱好这口啊，呵呵)。高手能方便发Q 号联系吗，还有些事情向请你指点啊，或者你加我也行。可以有偿！！！ 2016-2-4 20:56 0
hksoobe 雪币： 245 活跃值： (222) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 74 粉丝 6 关注私信	hksoobe 14 楼我比较忙，也不对外接单，我只研究我自己喜欢的技术，这方面的东西我其实也帮不了你什么，你要加好友就加吧，我已经加你了。 2016-2-4 20:59 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 15 楼为什么好友相互发消息也要50金啊。。。我钱都不够啊 2016-2-4 21:12 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 16 楼本帖已结！！！！！！ 2016-2-6 23:20 0
adjsnyqq 雪币： 35 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 44 粉丝 0 关注私信	adjsnyqq 17 楼你知道WOW那个检测保护是怎么做做到的吗？R3下，载入OD然后检测，然后重启电脑然后就无法附加它的进程没有HOOK 没有R0 2016-2-11 22:28 0
少尉雪币： 2371 活跃值： (304) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 69 粉丝 0 关注私信	少尉 18 楼弱弱的问一句,这种网游,怎么跟?一断就掉线. 2016-2-12 21:12 0
lvguangmin 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 32 粉丝 0 关注私信	lvguangmin 19 楼 mark一下 2016-2-14 11:49 0
眼镜雪币： 198 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 73 粉丝 1 关注私信	眼镜 20 楼暴雪其实。。。你如果不走call函数那些乱七八糟的。。。就开个僵尸进程在那让客户端直接跟服务器通讯。多开其实也没什么。。。 2000台机器不算什么了已经。做欧美魔兽的现在都是5000台起。。。黑号。。。什么乱七八糟的上。。。价格还可以。不过大部分人都是用HB直接来咔嚓~自己写也没啥意思了撒~直接破了HB就行了~ 2016-2-14 14:20 0
zjjhszs 雪币： 6 活跃值： (1509) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 308 粉丝 0 关注私信	zjjhszs 21 楼这是网易的R3检测，对于不懂的很难，对于懂的，太简单， 2016-2-14 14:58 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 22 楼嗯，又一个老牛来了，祝猴年大发啊！！！！ 2016-2-15 03:40 0
打小朋友雪币： 45 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 29 粉丝 0 关注私信	打小朋友 23 楼 mark 2016-2-19 17:10 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 24 楼注:-------------->从本人发帖起到现在，已自己成功防御暴雪 Warden扫描。并有效anti.... 在此，再次感谢大家回帖，虽然是自己决解的，但还是谢过了！！！ 2016-3-10 02:24 0
leoxiu 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	leoxiu 25 楼兄台你好，本人也是搞同款的，关于你上次说的安全隐患冻结我一直没有想明白，我怀疑是行为监测，你觉得有道理吗？怪物黑名单？（虽然事情过去了好久但是很好奇3小时安全隐患冻结） 2017-3-13 03:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[讨论]关于暴 雪系列游戏安全的探讨！！！

[讨论]关于暴雪系列游戏安全的探讨！！！