说来话长，一直喜欢玩csgo游戏的我，前几天在同学的带领下，开始接触了外挂，csgo的wg封为两类，一波是Dll类型的，比如

OneTap.su.dll、Osiris-1.dll、Kiddos-1.dl等等、另一波是Exe类型的，比如大地球演员版、V3 了 等等系列，后来，尝试过了注入器将Dll注入到csgo程序中，开始了"wg"游戏(纯粹是为了学习,不要模仿，不提供任何DLLwg版本文件，wg文件全部来自于外网)，劝大家不要开g，在我尝试了解wg的过程中，csgo账号被封停了。

     最近V社，要对CSGO的引擎进行全面升级了，之前一直用的是起源1 ，据说要升级成起源2，但不知道什么时候才能升级完成，还是据说起源2会有新的VAC机制，也导致全球的wg价格直接跌了很多，之前wg邀请码2000$的价格，现在也就几十了，所以趁着现在还能用的wg，就分析了一下。

   但是不过V社这种，把院子大门给你打开，但在院子里装门禁的老态不知道能不能改变。（其实我是在说，不做游戏保护,但是封号的行为）

   刚开始的时候，用的是外网下载的注入器，原本以为csgo会有防止注入的保护，就反汇编IDA了一下ProjectInfinityInjector-1.exe(一个注入器)，然而并没有发现他有什么牛X之处。

这是外网下载的DLL注入器，用PEID查看一下信息，发现是用C#写的。

后来我用到了IDA反汇编工具，查看了一下，虽然对C#支持不好，但是还是可以简单的看出来是通过什么来方法来注入的。

   原本以为这个注入器可能会有过Csgo游戏保护的方法，后来发现我错了，原来Valve(V社)并没有做过防注入保护，直接就可以对原游戏程序进程注入，说到这，就不得不提我国鹅厂了，还是我国注重游戏的外挂保护啊，我觉得完全可以把游戏保护交给鹅肠来做(狗头保命，纯属玩笑)。

  开上图的注入方法，其实就是CreateRemoteThread的方法注入的DLL，也很简单。但是完全没有想过自己开发一个注入器，因为不难，所以没做，但是这个注入器当你注入的时候，会给你谈广告，这个我是真的忍不了

所以我就自己写了一个注入器，还进行升级了一下，隐藏掉dll，这样可以躲过5e（国内最大的游戏匹配社区）外挂机制的检测了，用MFC写的，很简单，流程大概就是这样

（一）注入外挂DLL到csgo游戏

（二）注入HideModule.DLL到csgo游戏，通过断开PEB的三根链表，实现外挂DLL的隐藏

（三）远程卸载HideModule.DLL，实现无痕迹。

这里我是用ToolHelp32的方法来进行查找的，方法有很多，不过这种比较简单。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课