能力值:
![]()
(RANK:260 )
|
-
-
2 楼
虽然我不玩网络游戏,也没搞过外挂,不过据我所知网络游戏一般都用商业的保护系统,一般会有内核级的保护的,不是简单的关闭你的调试器进程这么简单。如果无法调试进程,通常是这种情况。
|
能力值:
( LV6,RANK:90 )
|
-
-
3 楼
这个似乎和有没有脱壳并不存在直接关系,一个程序不管怎么加壳,都要被壳解码后才能运行,读写进程内存的函数肯定是可以用的,只不过一般有保护的游戏都会对这几个函数进行内核级的HOOK,所以你必须首先去掉SSDT HOOK和INLINE HOOK,否则你的程序就很可能无法读取游戏内存数据了,不过要是编写驱动程序自己实现NTWriteProcessMemory和NTReadProcessMemory也应该可以的。
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
书呆彭:首先谢谢你的回答,我补充一下,我不清楚CE的打开进程是如何打开的,但是我自己写了一个openProcess的小程序区实验,是能够打开的,就是简单的那种枚举系统进程,然后根据进程名获取process id,然后openProcess的程序,而且可以readProcessMemory。用金山游戏可以搜索该进程。但是找不到指定的变量(有可能是他对数据进行了加密,让我找不到。我的理解是这样)目前不知道如何入手。
chzhn:有没有工具可以判定SSDT HOOK和INLINE HOOK是否被修改呢?否则只能自己写了
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
chzhn:杀毒软件也会用到SSDT HOOK和INLINE HOOK是,我如何确定SSDT HOOK和INLINE HOOK是谁的?
|
能力值:
( LV6,RANK:90 )
|
-
-
6 楼
你可以用wsyscheck或冰刃(我没用过)这个工具,用wsyscheck可以看到SSDT HOOK的驱动程序,根据驱动程序可以看出是杀毒还是游戏的HOOK的。
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
谢谢,楼上各位
|
|
|
|
