[原创]关于绕过NGS(nexon game security)-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]关于绕过NGS(nexon game security)

发表于: 2020-8-9 20:25 26054

[原创]关于绕过NGS(nexon game security)

qj111111

2020-8-9 20:25

26054

NGS采用双进程检测,
会检测游戏代码段是否被hook,
代码段内存属性是否被修改
游戏DR寄存器是否被修改(存疑)
枚举遍历所有进程,查看是否有可疑进程(CE,OD)
检查可疑文件,有上传行为.

关于调试
我的方法是写个驱动不给NGS打开游戏句柄权限.
五天前还能调试,今天不行了,游戏没更新检测更新了,卧槽...
又测试了一阵,发现可以先给打开游戏进程句柄权限,等调试时再关闭NGS权限,可行.

(估计过几天这方法又得和谐掉,方法多的很,慢慢绕就是了)
附件是外网绕过NGS方法.hook NGS openProcess 跨进程读写内存函数(我觉得不太保险,容易被检测)

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

NexonGameSecurity-bypass-alternative-master.zip （13.65kb，334次下载）

收藏・16

免费・5

支持

最新回复 (29) 1 2 ▶
妖妖灵丶o 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	妖妖灵丶o 2 楼这周的更新好像不能远跳了？ 2020-8-9 21:06 0
qj111111 雪币： 1558 活跃值： (3452) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 3 楼妖妖灵丶o 这周的更新好像不能远跳了？我做的游戏暂时没这块检测,可能游戏不同.堆栈检测可以构建个跳板,先近跳再远跳. 2020-8-9 21:12 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 4 楼不管它干什么，见招拆招，无招胜有招 2020-8-9 23:32 0
凌哥雪币： 865 活跃值： (1613) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 48 粉丝 14 关注私信	凌哥 5 楼 hxd，怎么过的CE调试检测呢 2020-8-15 14:31 0
qj111111 雪币： 1558 活跃值： (3452) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 6 楼凌哥 hxd，怎么过的CE调试检测呢枚举遍历所有进程,查看是否有可疑进程(CE,OD) 解决方法:不给他打开CE权限具体我用的 ObRegisterCallbacks https://bbs.pediy.com/thread-168023.htm 最后于 2020-8-15 15:08 被qj111111编辑，原因： 2020-8-15 15:04 0
小蚂蚁要丈量大世界雪币： 1 活跃值： (222) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 3 粉丝 0 关注私信	小蚂蚁要丈量大世界 7 楼哈哈我也在研究呢。 2020-8-21 14:57 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 8 楼 NGS自建了一套API调用，还有x86到x64的转换 Ring3层Hook不到了 2020-8-23 04:51 0
鸭子咯咯哒雪币： 1041 活跃值： (733) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 117 粉丝 1 关注私信	鸭子咯咯哒 9 楼怎么绕过检测游戏代码段是否被hook 2020-8-25 11:18 0
qj111111 雪币： 1558 活跃值： (3452) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 10 楼鸭子咯咯哒怎么绕过检测游戏代码段是否被hook[em_2] 去NGS进程的系统DLL里做手脚,一般系统DLL没CRC检测,或者R0驱动干 2020-8-25 16:46 0
qj111111 雪币： 1558 活跃值： (3452) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 11 楼鸭子咯咯哒怎么绕过检测游戏代码段是否被hook[em_2] 代码都发出来了,难道还要手把手教更新么 2020-8-25 16:48 0
鸭子咯咯哒雪币： 1041 活跃值： (733) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 117 粉丝 1 关注私信	鸭子咯咯哒 12 楼 qj111111 代码都发出来了,难道还要手把手教更新么为啥编译失败： https://ftp.bmp.ovh/imgs/2020/08/17522db3fcaf3827.png 2020-8-27 13:23 0
认真的Cxl 雪币： 116 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	认真的Cxl 13 楼鸭子咯咯哒为啥编译失败： https://ftp.bmp.ovh/imgs/2020/08/17522db3fcaf3827.png 你缺少引用文件，去下载微软的detoursHOOK库，编译64位然后引用就好了。 2020-8-27 14:04 0
鸭子咯咯哒雪币： 1041 活跃值： (733) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 117 粉丝 1 关注私信	鸭子咯咯哒 14 楼编译出来的dll要咋用鸭 2020-9-5 14:03 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 15 楼 mark 2020-9-5 17:24 0
estelle 雪币： 86 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 70 粉丝 0 关注私信	estelle 16 楼用驱动对付ngs吗好像2年前有一份来源的源码到现在还能使用就不发了 2020-9-7 21:15 0
ParkourParkC 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	ParkourParkC 17 楼 estelle 用驱动对付ngs吗好像2年前有一份来源的源码到现在还能使用就不发了如果可以的话，大佬能把这套驱动的源码发来瞅瞅么？新手，希望能多学习一下，谢谢！ 2020-9-9 19:34 0
program杨雪币： 1182 活跃值： (954) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 74 粉丝 8 关注私信	program杨 18 楼顶呱呱最后于 2020-10-6 15:23 被program杨编辑，原因： 2020-10-4 02:47 0
program杨雪币： 1182 活跃值： (954) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 74 粉丝 8 关注私信	program杨 19 楼 yy虫子yy NGS自建了一套API调用，还有x86到x64的转换 Ring3层Hook不到了看有些人把NGS自建的syscall函数地址硬编码了也不晓得是咋找的 2020-10-6 15:23 0
qj111111 雪币： 1558 活跃值： (3452) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 20 楼 program杨顶呱呱 NGS不难攻破,你等游戏进入完成.他会和NGS通信完成,大概时机是可以正常打怪了,这是用任何手段不给NGS打开游戏进程权限,隐藏进程/降权.etc. NGS这时读取不了游戏进程就可以随便操了,什么下断,调试随便搞.当然游戏进程本身的检测要自己处理 2021-11-16 18:25 0
qq10086 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	qq10086 24 楼 mb_jndyaqqp 大哥，你qq多少，我加你你QQ多少 2021-12-7 11:27 0
木志本柯雪币： 4741 活跃值： (4291) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 364 粉丝 4 关注私信	木志本柯 25 楼现在ngs好像不检测 ce f5 6了我测试的是csol 它检测drx的方法应该是NtGetThreadContext吧 2021-12-7 12:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

qj111111

发帖

156

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (29) 1 2 ▶
妖妖灵丶o 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	妖妖灵丶o 2 楼这周的更新好像不能远跳了？ 2020-8-9 21:06 0
qj111111 雪币： 1558 活跃值： (3452) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 3 楼妖妖灵丶o 这周的更新好像不能远跳了？我做的游戏暂时没这块检测,可能游戏不同.堆栈检测可以构建个跳板,先近跳再远跳. 2020-8-9 21:12 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 4 楼不管它干什么，见招拆招，无招胜有招 2020-8-9 23:32 0
凌哥雪币： 865 活跃值： (1613) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 48 粉丝 14 关注私信	凌哥 5 楼 hxd，怎么过的CE调试检测呢 2020-8-15 14:31 0
qj111111 雪币： 1558 活跃值： (3452) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 6 楼凌哥 hxd，怎么过的CE调试检测呢枚举遍历所有进程,查看是否有可疑进程(CE,OD) 解决方法:不给他打开CE权限具体我用的 ObRegisterCallbacks https://bbs.pediy.com/thread-168023.htm 最后于 2020-8-15 15:08 被qj111111编辑，原因： 2020-8-15 15:04 0
小蚂蚁要丈量大世界雪币： 1 活跃值： (222) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 3 粉丝 0 关注私信	小蚂蚁要丈量大世界 7 楼哈哈我也在研究呢。 2020-8-21 14:57 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 8 楼 NGS自建了一套API调用，还有x86到x64的转换 Ring3层Hook不到了 2020-8-23 04:51 0
鸭子咯咯哒雪币： 1041 活跃值： (733) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 117 粉丝 1 关注私信	鸭子咯咯哒 9 楼怎么绕过检测游戏代码段是否被hook 2020-8-25 11:18 0
qj111111 雪币： 1558 活跃值： (3452) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 10 楼鸭子咯咯哒怎么绕过检测游戏代码段是否被hook[em_2] 去NGS进程的系统DLL里做手脚,一般系统DLL没CRC检测,或者R0驱动干 2020-8-25 16:46 0
qj111111 雪币： 1558 活跃值： (3452) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 11 楼鸭子咯咯哒怎么绕过检测游戏代码段是否被hook[em_2] 代码都发出来了,难道还要手把手教更新么 2020-8-25 16:48 0
鸭子咯咯哒雪币： 1041 活跃值： (733) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 117 粉丝 1 关注私信	鸭子咯咯哒 12 楼 qj111111 代码都发出来了,难道还要手把手教更新么为啥编译失败： https://ftp.bmp.ovh/imgs/2020/08/17522db3fcaf3827.png 2020-8-27 13:23 0
认真的Cxl 雪币： 116 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	认真的Cxl 13 楼鸭子咯咯哒为啥编译失败： https://ftp.bmp.ovh/imgs/2020/08/17522db3fcaf3827.png 你缺少引用文件，去下载微软的detoursHOOK库，编译64位然后引用就好了。 2020-8-27 14:04 0
鸭子咯咯哒雪币： 1041 活跃值： (733) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 117 粉丝 1 关注私信	鸭子咯咯哒 14 楼编译出来的dll要咋用鸭 2020-9-5 14:03 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 15 楼 mark 2020-9-5 17:24 0
estelle 雪币： 86 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 70 粉丝 0 关注私信	estelle 16 楼用驱动对付ngs吗好像2年前有一份来源的源码到现在还能使用就不发了 2020-9-7 21:15 0
ParkourParkC 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	ParkourParkC 17 楼 estelle 用驱动对付ngs吗好像2年前有一份来源的源码到现在还能使用就不发了如果可以的话，大佬能把这套驱动的源码发来瞅瞅么？新手，希望能多学习一下，谢谢！ 2020-9-9 19:34 0
program杨雪币： 1182 活跃值： (954) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 74 粉丝 8 关注私信	program杨 18 楼顶呱呱最后于 2020-10-6 15:23 被program杨编辑，原因： 2020-10-4 02:47 0
program杨雪币： 1182 活跃值： (954) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 74 粉丝 8 关注私信	program杨 19 楼 yy虫子yy NGS自建了一套API调用，还有x86到x64的转换 Ring3层Hook不到了看有些人把NGS自建的syscall函数地址硬编码了也不晓得是咋找的 2020-10-6 15:23 0
qj111111 雪币： 1558 活跃值： (3452) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 20 楼 program杨顶呱呱 NGS不难攻破,你等游戏进入完成.他会和NGS通信完成,大概时机是可以正常打怪了,这是用任何手段不给NGS打开游戏进程权限,隐藏进程/降权.etc. NGS这时读取不了游戏进程就可以随便操了,什么下断,调试随便搞.当然游戏进程本身的检测要自己处理 2021-11-16 18:25 0
qq10086 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	qq10086 24 楼 mb_jndyaqqp 大哥，你qq多少，我加你你QQ多少 2021-12-7 11:27 0
木志本柯雪币： 4741 活跃值： (4291) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 364 粉丝 4 关注私信	木志本柯 25 楼现在ngs好像不检测 ce f5 6了我测试的是csol 它检测drx的方法应该是NtGetThreadContext吧 2021-12-7 12:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复