xtrap检测问题-经典问答-看雪-安全社区|安全招聘|kanxue.com

xtrap检测问题

发表于: 2016-6-24 08:17 7070

xtrap检测问题

妮可

2016-6-24 08:17

7070

对xtrap保护的进程注入dll被秒检测,无论是远程线程注入,内存注入,劫持注入
更离谱的是,我用创建暂停进程的方式把xtrap自己的DLL模块注入进去也会弹出非法提示

使单纯把dll数据写入到进程内存也会秒检测.
但是并不是写入操作被检测到,而是数据被检测.
我试着申请一块6W字节的内存,并完全填充随机值,检测毫无反应,但是写入一个3W字节的DLL文件数据却会被瞬间发现
之后我又试着把DLL注入后抹掉PE头,但还是没有什么用,到这我已经没任何头绪了

现在只能网上求助了

[课程]Linux pwn 探索篇！

收藏・1

免费・0

支持

最新回复 (19)
syser 雪币： 3255 活跃值： (4404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 231 粉丝 8 关注私信	syser 2 楼什么游戏的? 2016-6-24 08:55 0
hksoobe 雪币： 245 活跃值： (207) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 74 粉丝 6 关注私信	hksoobe 3 楼检测PE头了吧，你试试写个文件的PE头进去应该也会检测到，如果是这样子的话，直接写个ShellCode调用试试 2016-6-24 09:43 0
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 4 楼注入时机在哪 2016-6-24 09:44 0
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 84 粉丝 3 关注私信	妮可 5 楼我试过把一个DLL的前大半数据写入,一点没事,写入可执行代码也没事,但是写入整个DLL数据就异常了 2016-6-24 19:15 0
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 84 粉丝 3 关注私信	妮可 6 楼创建一个暂停的进程,这样xtrap还未启动,这时候就是注入时机 2016-6-24 19:16 0
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 7 楼易语言dll？不是话，尝试 memoryload 再抹掉pe 2016-6-24 19:30 0
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 84 粉丝 3 关注私信	妮可 8 楼貌似跟什么语言写的无关,不管哪种DLL,只要不是游戏本身自己加载的全都报非法目前唯一成功绕过的方法也就"无模块注入了",普通方式注入进去,然后DLL复制自身再卸载自己,但是中间的处理部分没看懂怎么回事 2016-6-24 22:37 0
7115564 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	7115564 9 楼什么游戏？ 2016-6-24 23:00 0
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 10 楼没看懂我意思，易语言DLL，因为是MFC，无成熟的内存注入现在内存注入模块，再抹掉PE，在游戏启动注入，比如驱动注入是目前比较好的方式 2016-6-25 07:43 0
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 84 粉丝 3 关注私信	妮可 11 楼易语言黑月编译的DLL是可以完美远程内存注入的,也没有MFC资源.而且内存注入后抹掉PE也试过什么用... 我上面说到的无模块注入,这个方法是dll在启动后自行拷贝了2次内存,还自行修复PE头重定位等操作,没抹掉这些数据还是能绕过,看了源代码也没理解其中奥妙,很费解 2016-6-25 10:16 0
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 12 楼说来说去还是易语言你换个 c++写就知道了 2016-6-25 10:31 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 13 楼 <--------------------这种情况，多半是内存CRC ，玩过过保护的，都懂的！！！注意: 关键在于怎么隐藏，别用普通的R3隐藏就完事了，没那么便宜的事！！ 2016-6-25 11:17 0
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 84 粉丝 3 关注私信	妮可 14 楼我使用"网络游侠"以前贴出来的一个DLL注入,完全不会被发现.已知他的DLL写法并且有源代码,但是我用vs2015编译出来的注入却会被发现...而且编译后的文件大小也差太多,又毫无头绪了 2016-6-25 22:16 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 15 楼 <----------目前已知的注入都会被各大Game Protect列入重点监控对象。其实不管你怎么注入，都会在Process里留下一块Memory信息。这个就是死角。就算你变态扭曲变型处理，都会被怀疑！！结果Game Server会快快乐乐的uploading，到时候，怎么分析你的Dump.就不是难事了，那些搞过杀毒的都懂的。。。。。。。其实，想快快乐乐的的操作游戏角色，也并不是只有注入DLL来操作一种方式，你可以换换思路，这样被检测到的几率会小点，想想其他Game的另类角色控制，长久以来都像GM神一样存在！！万年不倒啊！！！！！ <<<<<<<<<------------最后，个人感觉，跟Game Protect对抗！散发思维很重要，要的就是离散数学里的知识，充分发挥"离散"的精髓，玩什么都通透了！！！ 2016-6-26 01:03 0
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 84 粉丝 3 关注私信	妮可 16 楼思路很重要这点我也明白,但是有时候检测点真的很无厘头很无语就这次来说,经过几天时间,结果就因为刚才一个突发奇想,把注入器的写入数据部分改改,DLL里加一行代码就绕过了,然后深思这几天我简直白活了 2016-6-26 05:10 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 17 楼注入Dll ,始终会在Process里留下痕迹，虽然暂时混过去了，但只要被CRC到，不管三七二十一，抽上Servers，慢慢分析，久了，就会又会被ban. <----------------最好用上各种扭曲变形VM处理，最后连本机hardware Info和IP,也一并给做处理，防止Servers流氓式的收集存档。那著名的暴---雪和踢逼Protect，就是这么干的。。。。。 2016-6-26 09:05 0
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 18 楼把代码发出来，给看雪各位大神鉴定一样思路，毫无压力就你那问题多 2016-6-26 11:43 0
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 84 粉丝 3 关注私信	妮可 19 楼已经解决了.估计就是指针扫内存区域前N字节的数据 2016-6-27 13:54 0
xiaofengX 雪币： 6 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 16 粉丝 0 关注私信	xiaofengX 20 楼楼主是咋解决的 2016-8-6 21:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

妮可

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
syser 雪币： 3255 活跃值： (4404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 231 粉丝 8 关注私信	syser 2 楼什么游戏的? 2016-6-24 08:55 0
hksoobe 雪币： 245 活跃值： (207) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 74 粉丝 6 关注私信	hksoobe 3 楼检测PE头了吧，你试试写个文件的PE头进去应该也会检测到，如果是这样子的话，直接写个ShellCode调用试试 2016-6-24 09:43 0
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 4 楼注入时机在哪 2016-6-24 09:44 0
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 84 粉丝 3 关注私信	妮可 5 楼我试过把一个DLL的前大半数据写入,一点没事,写入可执行代码也没事,但是写入整个DLL数据就异常了 2016-6-24 19:15 0
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 84 粉丝 3 关注私信	妮可 6 楼创建一个暂停的进程,这样xtrap还未启动,这时候就是注入时机 2016-6-24 19:16 0
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 7 楼易语言dll？不是话，尝试 memoryload 再抹掉pe 2016-6-24 19:30 0
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 84 粉丝 3 关注私信	妮可 8 楼貌似跟什么语言写的无关,不管哪种DLL,只要不是游戏本身自己加载的全都报非法目前唯一成功绕过的方法也就"无模块注入了",普通方式注入进去,然后DLL复制自身再卸载自己,但是中间的处理部分没看懂怎么回事 2016-6-24 22:37 0
7115564 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	7115564 9 楼什么游戏？ 2016-6-24 23:00 0
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 10 楼没看懂我意思，易语言DLL，因为是MFC，无成熟的内存注入现在内存注入模块，再抹掉PE，在游戏启动注入，比如驱动注入是目前比较好的方式 2016-6-25 07:43 0
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 84 粉丝 3 关注私信	妮可 11 楼易语言黑月编译的DLL是可以完美远程内存注入的,也没有MFC资源.而且内存注入后抹掉PE也试过什么用... 我上面说到的无模块注入,这个方法是dll在启动后自行拷贝了2次内存,还自行修复PE头重定位等操作,没抹掉这些数据还是能绕过,看了源代码也没理解其中奥妙,很费解 2016-6-25 10:16 0
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 12 楼说来说去还是易语言你换个 c++写就知道了 2016-6-25 10:31 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 13 楼 <--------------------这种情况，多半是内存CRC ，玩过过保护的，都懂的！！！注意: 关键在于怎么隐藏，别用普通的R3隐藏就完事了，没那么便宜的事！！ 2016-6-25 11:17 0
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 84 粉丝 3 关注私信	妮可 14 楼我使用"网络游侠"以前贴出来的一个DLL注入,完全不会被发现.已知他的DLL写法并且有源代码,但是我用vs2015编译出来的注入却会被发现...而且编译后的文件大小也差太多,又毫无头绪了 2016-6-25 22:16 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 15 楼 <----------目前已知的注入都会被各大Game Protect列入重点监控对象。其实不管你怎么注入，都会在Process里留下一块Memory信息。这个就是死角。就算你变态扭曲变型处理，都会被怀疑！！结果Game Server会快快乐乐的uploading，到时候，怎么分析你的Dump.就不是难事了，那些搞过杀毒的都懂的。。。。。。。其实，想快快乐乐的的操作游戏角色，也并不是只有注入DLL来操作一种方式，你可以换换思路，这样被检测到的几率会小点，想想其他Game的另类角色控制，长久以来都像GM神一样存在！！万年不倒啊！！！！！ <<<<<<<<<------------最后，个人感觉，跟Game Protect对抗！散发思维很重要，要的就是离散数学里的知识，充分发挥"离散"的精髓，玩什么都通透了！！！ 2016-6-26 01:03 0
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 84 粉丝 3 关注私信	妮可 16 楼思路很重要这点我也明白,但是有时候检测点真的很无厘头很无语就这次来说,经过几天时间,结果就因为刚才一个突发奇想,把注入器的写入数据部分改改,DLL里加一行代码就绕过了,然后深思这几天我简直白活了 2016-6-26 05:10 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 17 楼注入Dll ,始终会在Process里留下痕迹，虽然暂时混过去了，但只要被CRC到，不管三七二十一，抽上Servers，慢慢分析，久了，就会又会被ban. <----------------最好用上各种扭曲变形VM处理，最后连本机hardware Info和IP,也一并给做处理，防止Servers流氓式的收集存档。那著名的暴---雪和踢逼Protect，就是这么干的。。。。。 2016-6-26 09:05 0
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 18 楼把代码发出来，给看雪各位大神鉴定一样思路，毫无压力就你那问题多 2016-6-26 11:43 0
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 84 粉丝 3 关注私信	妮可 19 楼已经解决了.估计就是指针扫内存区域前N字节的数据 2016-6-27 13:54 0
xiaofengX 雪币： 6 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 16 粉丝 0 关注私信	xiaofengX 20 楼楼主是咋解决的 2016-8-6 21:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复