首页
社区
课程
招聘
[推荐]某美cs2对战平台 反作弊漏洞 希望尽快修复
发表于: 2024-9-10 11:59 2740

[推荐]某美cs2对战平台 反作弊漏洞 希望尽快修复

2024-9-10 11:59
2740

前言

这个漏洞应该都被人用了很久了 之前也跟他们客服反馈过 换来的就是客服一句"我反馈一下" 因为某美那个客服是不能接收非视频文件的  我就把文件传到网盘了

然后过了几天看了下下载量是0 合着也没人管啊  


正文

某美世界竞技平台 下文简称


美的反作弊是会开机启动的 MessageTransfer.sys  但是如果你把美卸载了 他的驱动也会被卸载 然后你再安装美平台 此时他的驱动需要你登录后才会被安装 也就是说在下面这个界面的时候  美的驱动并没有被安装上 即反作弊没启动

简单逆一下gameaddon.node模块


可以看到该模块用了非常多的OpenProcess来对cs2.exe进行数据的访问 包括但不限于判断某些dll文件是否加载 是否成功进服务器

而判断是否成功进服务器是通过调用NtWow64ReadVirtualMemory64函数访问client.dll中某处纪录值来判断的 并且在   美世界竞技平台.exe 有一条线程是会一直去判断是否进入服务器的  这也就导致了NtWow64ReadVirtualMemory64会被一直调用 那么这也是为什么美驱动不对游戏进行保护的原因 所以我们可以利用这一点把dll注入进 美世界竞技平台.exe    因为这个程序打开 cs2.exe句柄是有白名单的  经过测试 这样做的确能不被PAC 


注意:本帖子所讨论的东西仅供学习交流 请勿将此漏洞商用 若本帖侵犯平台利益 请及时联系删帖

本来不想发帖子的 但是反馈给美不作为  属实难评







[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2024-9-10 15:58 被NMNP码农编辑 ,原因: 把完美改成某美了 不指名道姓了
收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 4858
活跃值: (1486)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
第九条 从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定:



(一)不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。



(二)不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。

额,你是不是要注意下
2024-9-10 13:55
0
雪    币: 2184
活跃值: (5263)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
3
也就是说可以每次都通过卸载的方式,然后安装,此时没用注入保护,注入个dll到完美客户端,在加载驱动保护,此时也可以读取内存?
2024-9-10 14:16
0
雪    币: 9
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
4
这也不算漏洞
2024-9-10 14:24
0
雪    币: 412
活跃值: (668)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
5
Oxygen1a1 也就是说可以每次都通过卸载的方式,然后安装,此时没用注入保护,注入个dll到完美客户端,在加载驱动保护,此时也可以读取内存?
某美压根就没加注入保护 如果驱动没卸载 注入进去会被检测  我们在驱动没加载的时候注入进客户端 正常启动线程 正常打开游戏进程(游戏也没有被保护) 然后用API去读取游戏内存 是不会被检测的 因为他有白名单
2024-9-10 15:57
1
雪    币: 2334
活跃值: (1349)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
6

有规模的公司是这样的,运营部门不懂技术,不知道严重性。技术部门不可能天天看投诉。发到这里反而他们技术能看到问题。

最后于 2024-9-10 16:57 被FraMeQ编辑 ,原因:
2024-9-10 16:56
0
游客
登录 | 注册 方可回帖
返回
//