-
-
[推荐]某美cs2对战平台 反作弊漏洞 希望尽快修复
-
发表于: 2024-9-10 11:59
-
前言
这个漏洞应该都被人用了很久了 之前也跟他们客服反馈过 换来的就是客服一句"我反馈一下" 因为某美那个客服是不能接收非视频文件的 我就把文件传到网盘了
然后过了几天看了下下载量是0 合着也没人管啊
正文
某美世界竞技平台 下文简称某美
某美的反作弊是会开机启动的 MessageTransfer.sys 但是如果你把某美卸载了 他的驱动也会被卸载 然后你再安装某美平台 此时他的驱动需要你登录后才会被安装 也就是说
在下面这个界面的时候 某美的驱动并没有被安装上 即反作弊没启动
简单逆一下gameaddon.node模块
可以看到该模块用了非常多的OpenProcess来对”cs2.exe”进行数据的访问 包括但不限于判断某些dll文件是否加载 是否成功进服务器
而判断是否成功进服务器是通过调用NtWow64ReadVirtualMemory64函数访问”client.dll”中某处纪录值来判断的 并且在 ”某美世界竞技平台.exe”中 有一条线程是会一直去判断是否进入服务器的 这也就导致了NtWow64ReadVirtualMemory64会被一直调用 那么这也是为什么某美驱动不对游戏进行保护的原因 所以我们可以利用这一点把dll注入进 ”某美世界竞技平台.exe” 因为这个程序打开 ”cs2.exe”句柄是有白名单的 经过测试 这样做的确能不被PAC
注意:本帖子所讨论的东西仅供学习交流 请勿将此漏洞商用 若本帖侵犯平台利益 请及时联系删帖
本来不想发帖子的 但是反馈给某美 某美不作为 属实难评
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
最后于 2024-9-10 15:58
被NMNP码农编辑
,原因: 把完美改成某美了 不指名道姓了
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
某美压根就没加注入保护 如果驱动没卸载 注入进去会被检测 我们在驱动没加载的时候注入进客户端 正常启动线程 正常打开游戏进程(游戏也没有被保护) 然后用API去读取游戏内存 是不会被检测的 因为他有白名单 |
|
|
|
