[原创]某号称国外最强反作弊如何偷鸡监控和拦截鼠标输入-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]某号称国外最强反作弊如何偷鸡监控和拦截鼠标输入

发表于: 2021-6-8 19:32 26772

[原创]某号称国外最强反作弊如何偷鸡监控和拦截鼠标输入

hzqst

2021-6-8 19:32

26772

mouclass.sys!MouseClassServiceCallback（原版）

由于mouclass.sys尚未被PatchGuard保护，所以某国外大厂的FACEIT.sys直接暴力挂上了inlinehook：

可以看到该“大厂”只使用了[rsp+offset_retaddr]作为返回地址

而且仅仅只是上报retaddr，PID，TID等信息，并没有做拦截

完整伪代码：

而另一个大厂的vgk.sys虽然也挂了inlinehook：

但它品味素质修养明显就比FACEIT.sys高很多

可以看到它也有监控返回地址：

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

最后于 2021-6-8 19:46 被hzqst编辑，原因：

#调试逆向

收藏・53

免费・16

支持

赞赏记录

参与人

雪币

留言

时间

showmark

为你点赞！

2024-12-4 16:55

東陽不列山

为你点赞！

2024-11-4 03:15

一路南寻

为你点赞！

2024-7-15 04:27

嫉妒的死远点

为你点赞！

2024-6-20 01:01

R0g

为你点赞~

2024-4-17 13:13

PLEBFE

为你点赞~

2023-1-13 02:09

平头猿小哥

为你点赞~

2022-12-27 20:54

pureGavin

为你点赞~

2022-12-26 10:45

Youlor

为你点赞~

2022-7-17 11:29

juwh

为你点赞~

2022-3-18 11:35

ljlvink

为你点赞~

2021-9-26 08:26

风中小筑V

为你点赞~

2021-6-14 23:55

Caim Astraea

为你点赞~

2021-6-9 17:04

hzqst

为你点赞~

2021-6-9 15:24

不对

为你点赞~

2021-6-9 10:52

blindtiger

为你点赞~

2021-6-8 19:37

最新回复 (21)
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 2 楼沙发 2021-6-8 19:35 0
如斯咩咩咩雪币： 4709 活跃值： (1645) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 154 粉丝 8 关注私信	如斯咩咩咩 3 楼沙发 2021-6-8 19:40 0
淡然他徒弟雪币： 6319 活跃值： (5242) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 226 粉丝 112 关注私信	淡然他徒弟 1 4 楼前排出售瓜子广告位。 2021-6-8 19:42 0
Lixinist 雪币： 9934 活跃值： (2554) 能力值： ( LV6，RANK：87 ) 在线值：发帖 13 回帖 350 粉丝 19 关注私信	Lixinist 1 5 楼捕捉瓶 2021-6-8 19:48 0
qdjytony 雪币： 665 活跃值： (1051) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 85 粉丝 3 关注私信	qdjytony 6 楼 dbg yyds! 2021-6-8 20:41 0
青丝梦雪币： 1352 活跃值： (2467) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 144 粉丝 19 关注私信	青丝梦 1 7 楼啊这！ 2021-6-8 20:58 0
SSH山水画雪币： 500 活跃值： (14718) 能力值： ( LV12，RANK：380 ) 在线值：发帖 54 回帖 325 粉丝 383 关注私信	SSH山水画 3 8 楼表哥带我撸TP啊 2021-6-8 22:05 1
mb_foyotena 雪币： 477 活跃值： (1412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 304 粉丝 14 关注私信	mb_foyotena 9 楼大黄dog威武 2021-6-9 10:20 0
木志本柯雪币： 4987 活跃值： (4987) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 379 粉丝 5 关注私信	木志本柯 10 楼啊这 2021-6-9 11:22 0
杰克王雪币： 183 活跃值： (2437) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 63 粉丝 56 关注私信	杰克王 11 楼表哥 yyds 2021-6-11 14:17 0
绝对·零度雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	绝对·零度 12 楼 dbg yyds! 2021-8-4 07:29 0
河北小风雪币： 518 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	河北小风 13 楼表格yyds666 2021-8-4 09:08 0
青蓝梦雪币： 30 活跃值： (806) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	青蓝梦 14 楼用cpp版本的protobuf，不做阉割的话，会在.rdata里面留下完整的proto结构表可以dump出来（别人得评论）请教下楼主如何dump啊有相关得例子么 2021-9-3 13:39 0
灵幻空间雪币： 1300 活跃值： (2367) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 57 粉丝 46 关注私信	灵幻空间 15 楼这种监控方式，绕过也不算难，大表哥yyds 最后于 2021-9-24 18:13 被灵幻空间编辑，原因： 2021-9-24 18:10 0
大魔法狮子雪币： 23 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 26 粉丝 1 关注私信	大魔法狮子 17 楼大表哥，怎么知道哪些驱动被 PG保护了，哪些没有呢。大表哥请授我以渔 2021-11-22 11:19 0
铜锣湾扛把子雪币： 493 活跃值： (861) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 9 粉丝 30 关注私信	铜锣湾扛把子 18 楼大表哥牛批 2022-2-15 12:30 0
shuwoa 雪币： 35 活跃值： (1806) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 58 粉丝 3 关注私信	shuwoa 21 楼好最后于 2024-2-15 21:26 被shuwoa编辑，原因： 2022-12-26 05:10 0
PeterZheng 雪币： 1110 活跃值： (1808) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 37 粉丝 0 关注私信	PeterZheng 22 楼青蓝梦用cpp版本的protobuf，不做阉割的话，会在.rdata里面留下完整的proto结构表可以dump出来（别人得评论）请教下楼主如何dump啊有相关得例子么貌似把反射关了就行了。 2024-11-4 11:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hzqst

发帖

1793

回帖

280

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 2 楼沙发 2021-6-8 19:35 0
如斯咩咩咩雪币： 4709 活跃值： (1645) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 154 粉丝 8 关注私信	如斯咩咩咩 3 楼沙发 2021-6-8 19:40 0
淡然他徒弟雪币： 6319 活跃值： (5242) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 226 粉丝 112 关注私信	淡然他徒弟 1 4 楼前排出售瓜子广告位。 2021-6-8 19:42 0
Lixinist 雪币： 9934 活跃值： (2554) 能力值： ( LV6，RANK：87 ) 在线值：发帖 13 回帖 350 粉丝 19 关注私信	Lixinist 1 5 楼捕捉瓶 2021-6-8 19:48 0
qdjytony 雪币： 665 活跃值： (1051) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 85 粉丝 3 关注私信	qdjytony 6 楼 dbg yyds! 2021-6-8 20:41 0
青丝梦雪币： 1352 活跃值： (2467) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 144 粉丝 19 关注私信	青丝梦 1 7 楼啊这！ 2021-6-8 20:58 0
SSH山水画雪币： 500 活跃值： (14718) 能力值： ( LV12，RANK：380 ) 在线值：发帖 54 回帖 325 粉丝 383 关注私信	SSH山水画 3 8 楼表哥带我撸TP啊 2021-6-8 22:05 1
mb_foyotena 雪币： 477 活跃值： (1412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 304 粉丝 14 关注私信	mb_foyotena 9 楼大黄dog威武 2021-6-9 10:20 0
木志本柯雪币： 4987 活跃值： (4987) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 379 粉丝 5 关注私信	木志本柯 10 楼啊这 2021-6-9 11:22 0
杰克王雪币： 183 活跃值： (2437) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 63 粉丝 56 关注私信	杰克王 11 楼表哥 yyds 2021-6-11 14:17 0
绝对·零度雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	绝对·零度 12 楼 dbg yyds! 2021-8-4 07:29 0
河北小风雪币： 518 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	河北小风 13 楼表格yyds666 2021-8-4 09:08 0
青蓝梦雪币： 30 活跃值： (806) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	青蓝梦 14 楼用cpp版本的protobuf，不做阉割的话，会在.rdata里面留下完整的proto结构表可以dump出来（别人得评论）请教下楼主如何dump啊有相关得例子么 2021-9-3 13:39 0
灵幻空间雪币： 1300 活跃值： (2367) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 57 粉丝 46 关注私信	灵幻空间 15 楼这种监控方式，绕过也不算难，大表哥yyds 最后于 2021-9-24 18:13 被灵幻空间编辑，原因： 2021-9-24 18:10 0
大魔法狮子雪币： 23 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 26 粉丝 1 关注私信	大魔法狮子 17 楼大表哥，怎么知道哪些驱动被 PG保护了，哪些没有呢。大表哥请授我以渔 2021-11-22 11:19 0
铜锣湾扛把子雪币： 493 活跃值： (861) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 9 粉丝 30 关注私信	铜锣湾扛把子 18 楼大表哥牛批 2022-2-15 12:30 0
shuwoa 雪币： 35 活跃值： (1806) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 58 粉丝 3 关注私信	shuwoa 21 楼好最后于 2024-2-15 21:26 被shuwoa编辑，原因： 2022-12-26 05:10 0
PeterZheng 雪币： 1110 活跃值： (1808) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 37 粉丝 0 关注私信	PeterZheng 22 楼青蓝梦用cpp版本的protobuf，不做阉割的话，会在.rdata里面留下完整的proto结构表可以dump出来（别人得评论）请教下楼主如何dump啊有相关得例子么貌似把反射关了就行了。 2024-11-4 11:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]某号称国外最强反作弊如何偷鸡监控和拦截鼠标输入

账号登录 验证码登录

账号登录

验证码登录