[原创]对反游戏外挂技术的思考及实现-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (35) ◀ 1 2
a303266618 雪币： 445 活跃值： (362) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 13 粉丝 0 关注私信	a303266618 26 楼大佬厉害了 2020-8-17 01:08 0
思源欲涩雪币： 331 能力值： ( LV1，RANK：0 ) 在线值：发帖 5 回帖 50 粉丝 15 关注私信	思源欲涩 27 楼 3环加保护没什么意义.还是在0环搞实在 2020-8-25 09:31 0
大飞猪雪币： 446 活跃值： (555) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 10 粉丝 2 关注私信	大飞猪 28 楼代码段监测的方法，内存中的PE文件的代码段和磁盘中的代码段有可能不同啊，原因是会有地址重定向的问题。这么检测会不会误判？ 2020-8-27 16:13 0
凌哥雪币： 865 活跃值： (1613) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 48 粉丝 14 关注私信	凌哥 29 楼 mark了大佬牛逼 2020-8-27 16:37 0
lhxdiao 雪币： 2089 活跃值： (3933) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 184 粉丝 111 关注私信	lhxdiao 30 楼有效，检测调试还可以网络获取时间并比对执行时间差。 2020-8-27 18:06 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 31 楼 DXF就有对CALL的调用栈进行检测并把这个值加密保存在一块内存里等存够了就发给服务器来判断还有动态CRC校验然而市面还是那么多外挂呢 2020-11-5 01:12 0
大飞猪雪币： 446 活跃值： (555) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 10 粉丝 2 关注私信	大飞猪 32 楼向楼主提几个小问题： dll监测：一般挂的dll都会隐藏起来，并抹去自己的PE头信息，难监测到。另外，dll也可以伪装成游戏自己的的dll，做dll劫持。 call函数保护：这个其实不太容易，因为首先要获取值挂程序要访问哪些游戏的关键函数，另外挂也可以不在最靠近游戏关键函数的位置调用此函数，可以在堆栈的任何位置出发调用条件，所以call监测的位置会不准确。代码段监测：PE代码段中有大量的未重定位信息，内存中的PE映射已经是重定位过的了，比较时是不是有问题？ 2020-11-5 15:35 0
舒默哦雪币： 2989 活跃值： (4911) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 148 粉丝 59 关注私信	舒默哦 1 33 楼拜读 2020-11-5 16:15 0
mb_nbicjaam 雪币： 3 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	mb_nbicjaam 34 楼多开检测套路深端口占用文件占用信号量 event 本地127.0.0.1通信驱动全局变量太多了，不怕游戏查到你就怕查到你不搞你最后于 2021-4-17 05:55 被mb_nbicjaam编辑，原因： 2021-4-17 05:54 0
mb_qmomcleg 雪币： 876 活跃值： (584) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	mb_qmomcleg 35 楼菜鸟来学习 2021-7-17 00:26 0
iamasbcx 雪币： 3888 活跃值： (3678) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 191 粉丝 8 关注私信	iamasbcx 36 楼有驱动层的资料吗 2021-7-17 05:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (35) ◀ 1 2
a303266618 雪币： 445 活跃值： (362) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 13 粉丝 0 关注私信	a303266618 26 楼大佬厉害了 2020-8-17 01:08 0
思源欲涩雪币： 331 能力值： ( LV1，RANK：0 ) 在线值：发帖 5 回帖 50 粉丝 15 关注私信	思源欲涩 27 楼 3环加保护没什么意义.还是在0环搞实在 2020-8-25 09:31 0
大飞猪雪币： 446 活跃值： (555) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 10 粉丝 2 关注私信	大飞猪 28 楼代码段监测的方法，内存中的PE文件的代码段和磁盘中的代码段有可能不同啊，原因是会有地址重定向的问题。这么检测会不会误判？ 2020-8-27 16:13 0
凌哥雪币： 865 活跃值： (1613) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 48 粉丝 14 关注私信	凌哥 29 楼 mark了大佬牛逼 2020-8-27 16:37 0
lhxdiao 雪币： 2089 活跃值： (3933) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 184 粉丝 111 关注私信	lhxdiao 30 楼有效，检测调试还可以网络获取时间并比对执行时间差。 2020-8-27 18:06 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 31 楼 DXF就有对CALL的调用栈进行检测并把这个值加密保存在一块内存里等存够了就发给服务器来判断还有动态CRC校验然而市面还是那么多外挂呢 2020-11-5 01:12 0
大飞猪雪币： 446 活跃值： (555) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 10 粉丝 2 关注私信	大飞猪 32 楼向楼主提几个小问题： dll监测：一般挂的dll都会隐藏起来，并抹去自己的PE头信息，难监测到。另外，dll也可以伪装成游戏自己的的dll，做dll劫持。 call函数保护：这个其实不太容易，因为首先要获取值挂程序要访问哪些游戏的关键函数，另外挂也可以不在最靠近游戏关键函数的位置调用此函数，可以在堆栈的任何位置出发调用条件，所以call监测的位置会不准确。代码段监测：PE代码段中有大量的未重定位信息，内存中的PE映射已经是重定位过的了，比较时是不是有问题？ 2020-11-5 15:35 0
舒默哦雪币： 2989 活跃值： (4911) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 148 粉丝 59 关注私信	舒默哦 1 33 楼拜读 2020-11-5 16:15 0
mb_nbicjaam 雪币： 3 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	mb_nbicjaam 34 楼多开检测套路深端口占用文件占用信号量 event 本地127.0.0.1通信驱动全局变量太多了，不怕游戏查到你就怕查到你不搞你最后于 2021-4-17 05:55 被mb_nbicjaam编辑，原因： 2021-4-17 05:54 0
mb_qmomcleg 雪币： 876 活跃值： (584) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	mb_qmomcleg 35 楼菜鸟来学习 2021-7-17 00:26 0
iamasbcx 雪币： 3888 活跃值： (3678) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 191 粉丝 8 关注私信	iamasbcx 36 楼有驱动层的资料吗 2021-7-17 05:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复