首页
社区
课程
招聘
[原创]某号称国外最强反作弊如何偷鸡监控和拦截鼠标输入
发表于: 2021-6-8 19:32 25960

[原创]某号称国外最强反作弊如何偷鸡监控和拦截鼠标输入

2021-6-8 19:32
25960

mouclass.sys!MouseClassServiceCallback(原版)




由于mouclass.sys尚未被PatchGuard保护,所以某国外大厂的FACEIT.sys直接暴力挂上了inlinehook:



可以看到该“大厂”只使用了[rsp+offset_retaddr]作为返回地址


而且仅仅只是上报retaddr,PID,TID等信息,并没有做拦截


完整伪代码:


而另一个vgk.sys虽然也挂了inlinehook:



但它品味素质修养明显就比FACEIT.sys高很多


可以看到它也有监控返回地址:



[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2021-6-8 19:46 被hzqst编辑 ,原因:
收藏
免费 15
支持
分享
最新回复 (21)
雪    币: 1641
活跃值: (3601)
能力值: (RANK:15 )
在线值:
发帖
回帖
粉丝
2
沙发
2021-6-8 19:35
0
雪    币: 4709
活跃值: (1575)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
3
沙发
2021-6-8 19:40
0
雪    币: 6166
活跃值: (4942)
能力值: ( LV10,RANK:160 )
在线值:
发帖
回帖
粉丝
4
前排出售瓜子 广告位。
2021-6-8 19:42
0
雪    币: 9934
活跃值: (2554)
能力值: ( LV6,RANK:87 )
在线值:
发帖
回帖
粉丝
5
捕捉瓶
2021-6-8 19:48
0
雪    币: 665
活跃值: (1051)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
dbg yyds!
2021-6-8 20:41
0
雪    币: 1420
活跃值: (2171)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
啊这!
2021-6-8 20:58
0
雪    币: 1475
活跃值: (14652)
能力值: ( LV12,RANK:380 )
在线值:
发帖
回帖
粉丝
8
表哥带我撸TP啊
2021-6-8 22:05
1
雪    币: 477
活跃值: (1412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
大黄dog威武
2021-6-9 10:20
0
雪    币: 4738
活跃值: (4286)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
啊这
2021-6-9 11:22
0
雪    币: 183
活跃值: (2427)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
11
表哥 yyds
2021-6-11 14:17
0
雪    币: 20
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
12
dbg yyds!
2021-8-4 07:29
0
雪    币: 518
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
13
表格yyds666
2021-8-4 09:08
0
雪    币: 90
活跃值: (566)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
用cpp版本的protobuf,不做阉割的话,会在.rdata里面留下完整的proto结构表可以dump出来(别人得评论)
请教下楼主   如何dump啊  有相关得例子么    
2021-9-3 13:39
0
雪    币: 1290
活跃值: (2332)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
15

这种监控方式,绕过也不算难,大表哥yyds

最后于 2021-9-24 18:13 被灵幻空间编辑 ,原因:
2021-9-24 18:10
0
雪    币: 23
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
17
大表哥,怎么知道哪些驱动被 PG保护了,哪些没有呢。大表哥请授我以渔
2021-11-22 11:19
0
雪    币: 493
活跃值: (861)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
18
大表哥牛批
2022-2-15 12:30
0
雪    币: 35
活跃值: (1796)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21

最后于 2024-2-15 21:26 被shuwoa编辑 ,原因:
2022-12-26 05:10
0
雪    币: 1110
活跃值: (1325)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
青蓝梦 用cpp版本的protobuf,不做阉割的话,会在.rdata里面留下完整的proto结构表可以dump出来(别人得评论) 请教下楼主 如何dump啊 有相关得例子么
貌似把反射关了就行了。
2024-11-4 11:02
0
游客
登录 | 注册 方可回帖
返回
//