[原创]某号称国外最强反作弊如何偷鸡监控和拦截鼠标输入-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]某号称国外最强反作弊如何偷鸡监控和拦截鼠标输入

发表于: 2021-6-8 19:32 25959

[原创]某号称国外最强反作弊如何偷鸡监控和拦截鼠标输入

hzqst

2021-6-8 19:32

25959

mouclass.sys!MouseClassServiceCallback（原版）

由于mouclass.sys尚未被PatchGuard保护，所以某国外大厂的FACEIT.sys直接暴力挂上了inlinehook：

可以看到该“大厂”只使用了[rsp+offset_retaddr]作为返回地址

而且仅仅只是上报retaddr，PID，TID等信息，并没有做拦截

完整伪代码：

而另一个大厂的vgk.sys虽然也挂了inlinehook：

但它品味素质修养明显就比FACEIT.sys高很多

可以看到它也有监控返回地址：

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

最后于 2021-6-8 19:46 被hzqst编辑，原因：

#调试逆向

收藏・52

免费・15

支持

最新回复 (21)
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 2 楼沙发 2021-6-8 19:35 0
如斯咩咩咩雪币： 4709 活跃值： (1575) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 154 粉丝 7 关注私信	如斯咩咩咩 3 楼沙发 2021-6-8 19:40 0
淡然他徒弟雪币： 6166 活跃值： (4942) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 220 粉丝 105 关注私信	淡然他徒弟 1 4 楼前排出售瓜子广告位。 2021-6-8 19:42 0
Lixinist 雪币： 9934 活跃值： (2554) 能力值： ( LV6，RANK：87 ) 在线值：发帖 13 回帖 350 粉丝 18 关注私信	Lixinist 1 5 楼捕捉瓶 2021-6-8 19:48 0
qdjytony 雪币： 665 活跃值： (1051) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 85 粉丝 3 关注私信	qdjytony 6 楼 dbg yyds! 2021-6-8 20:41 0
青丝梦雪币： 1420 活跃值： (2171) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 143 粉丝 19 关注私信	青丝梦 1 7 楼啊这！ 2021-6-8 20:58 0
SSH山水画雪币： 1475 活跃值： (14652) 能力值： ( LV12，RANK：380 ) 在线值：发帖 54 回帖 325 粉丝 374 关注私信	SSH山水画 3 8 楼表哥带我撸TP啊 2021-6-8 22:05 1
mb_foyotena 雪币： 477 活跃值： (1412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 304 粉丝 14 关注私信	mb_foyotena 9 楼大黄dog威武 2021-6-9 10:20 0
木志本柯雪币： 4734 活跃值： (4281) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 364 粉丝 4 关注私信	木志本柯 10 楼啊这 2021-6-9 11:22 0
杰克王雪币： 183 活跃值： (2427) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 63 粉丝 56 关注私信	杰克王 11 楼表哥 yyds 2021-6-11 14:17 0
绝对·零度雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	绝对·零度 12 楼 dbg yyds! 2021-8-4 07:29 0
河北小风雪币： 518 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	河北小风 13 楼表格yyds666 2021-8-4 09:08 0
青蓝梦雪币： 90 活跃值： (561) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	青蓝梦 14 楼用cpp版本的protobuf，不做阉割的话，会在.rdata里面留下完整的proto结构表可以dump出来（别人得评论）请教下楼主如何dump啊有相关得例子么 2021-9-3 13:39 0
灵幻空间雪币： 1290 活跃值： (2332) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 56 粉丝 44 关注私信	灵幻空间 15 楼这种监控方式，绕过也不算难，大表哥yyds 最后于 2021-9-24 18:13 被灵幻空间编辑，原因： 2021-9-24 18:10 0
大魔法狮子雪币： 23 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 26 粉丝 1 关注私信	大魔法狮子 17 楼大表哥，怎么知道哪些驱动被 PG保护了，哪些没有呢。大表哥请授我以渔 2021-11-22 11:19 0
铜锣湾扛把子雪币： 493 活跃值： (861) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 9 粉丝 30 关注私信	铜锣湾扛把子 18 楼大表哥牛批 2022-2-15 12:30 0
shuwoa 雪币： 35 活跃值： (1796) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 58 粉丝 3 关注私信	shuwoa 21 楼好最后于 2024-2-15 21:26 被shuwoa编辑，原因： 2022-12-26 05:10 0
PeterZheng 雪币： 1110 活跃值： (1325) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 25 粉丝 0 关注私信	PeterZheng 22 楼青蓝梦用cpp版本的protobuf，不做阉割的话，会在.rdata里面留下完整的proto结构表可以dump出来（别人得评论）请教下楼主如何dump啊有相关得例子么貌似把反射关了就行了。 2024-11-4 11:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hzqst

发帖

1793

回帖

280

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 2 楼沙发 2021-6-8 19:35 0
如斯咩咩咩雪币： 4709 活跃值： (1575) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 154 粉丝 7 关注私信	如斯咩咩咩 3 楼沙发 2021-6-8 19:40 0
淡然他徒弟雪币： 6166 活跃值： (4942) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 220 粉丝 105 关注私信	淡然他徒弟 1 4 楼前排出售瓜子广告位。 2021-6-8 19:42 0
Lixinist 雪币： 9934 活跃值： (2554) 能力值： ( LV6，RANK：87 ) 在线值：发帖 13 回帖 350 粉丝 18 关注私信	Lixinist 1 5 楼捕捉瓶 2021-6-8 19:48 0
qdjytony 雪币： 665 活跃值： (1051) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 85 粉丝 3 关注私信	qdjytony 6 楼 dbg yyds! 2021-6-8 20:41 0
青丝梦雪币： 1420 活跃值： (2171) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 143 粉丝 19 关注私信	青丝梦 1 7 楼啊这！ 2021-6-8 20:58 0
SSH山水画雪币： 1475 活跃值： (14652) 能力值： ( LV12，RANK：380 ) 在线值：发帖 54 回帖 325 粉丝 374 关注私信	SSH山水画 3 8 楼表哥带我撸TP啊 2021-6-8 22:05 1
mb_foyotena 雪币： 477 活跃值： (1412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 304 粉丝 14 关注私信	mb_foyotena 9 楼大黄dog威武 2021-6-9 10:20 0
木志本柯雪币： 4734 活跃值： (4281) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 364 粉丝 4 关注私信	木志本柯 10 楼啊这 2021-6-9 11:22 0
杰克王雪币： 183 活跃值： (2427) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 63 粉丝 56 关注私信	杰克王 11 楼表哥 yyds 2021-6-11 14:17 0
绝对·零度雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	绝对·零度 12 楼 dbg yyds! 2021-8-4 07:29 0
河北小风雪币： 518 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	河北小风 13 楼表格yyds666 2021-8-4 09:08 0
青蓝梦雪币： 90 活跃值： (561) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	青蓝梦 14 楼用cpp版本的protobuf，不做阉割的话，会在.rdata里面留下完整的proto结构表可以dump出来（别人得评论）请教下楼主如何dump啊有相关得例子么 2021-9-3 13:39 0
灵幻空间雪币： 1290 活跃值： (2332) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 56 粉丝 44 关注私信	灵幻空间 15 楼这种监控方式，绕过也不算难，大表哥yyds 最后于 2021-9-24 18:13 被灵幻空间编辑，原因： 2021-9-24 18:10 0
大魔法狮子雪币： 23 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 26 粉丝 1 关注私信	大魔法狮子 17 楼大表哥，怎么知道哪些驱动被 PG保护了，哪些没有呢。大表哥请授我以渔 2021-11-22 11:19 0
铜锣湾扛把子雪币： 493 活跃值： (861) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 9 粉丝 30 关注私信	铜锣湾扛把子 18 楼大表哥牛批 2022-2-15 12:30 0
shuwoa 雪币： 35 活跃值： (1796) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 58 粉丝 3 关注私信	shuwoa 21 楼好最后于 2024-2-15 21:26 被shuwoa编辑，原因： 2022-12-26 05:10 0
PeterZheng 雪币： 1110 活跃值： (1325) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 25 粉丝 0 关注私信	PeterZheng 22 楼青蓝梦用cpp版本的protobuf，不做阉割的话，会在.rdata里面留下完整的proto结构表可以dump出来（别人得评论）请教下楼主如何dump啊有相关得例子么貌似把反射关了就行了。 2024-11-4 11:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复