-
-
[原创]EasyAnticheat的内存特征算法
-
发表于:
2021-6-10 13:40
21459
-
anticheat一般都会有内存扫描的操作,来与数据库中的非法程序进行对比。
在进行扫描前,ac会先判断地址是否正确
判断是否是用户态的可读地址
如果没问题,则进行内存特征的操作
根据这个这个表,很容易知道这是hde的反汇编引擎,和crc的哈希
具体步骤:
eac先根据获取当前附加进程的架构x86,还是x64
接着开始循环遍历内存块,直到找到特定机器码起始的地址
可以看到,x64是寻找sub rsp,xxxx /push rbp或者mov rbp,rsp 。x86则是寻找push ebp /mov ebp,esp
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)