/中文/
/中文/
/中文/
/中文/
/中文/
/中文/
/中文/
/中文/
/中文/
/中文/
測試反外掛係統程序獨立版(接口文檔)是一款在多年登錄器開發中製造的產物,以前都是針對不同的遊戲做不同的反外掛,效果雖然有了,但不利於複用,所以後來就自己開發了這套係統。
越過BE(以及其他反外掛係統)有兩個重要環節1.讀取被驅動保護的內存2.防止讀寫行為被發現一個環節一個環節說讀取被驅動保護的內存主要有兩種手段1.克隆handle,這個方法前年公開(也有可能早就公開了就是我不知道,唉),從係統進程cssrs.exe handle出來,這個方法好處是百發百中,成本低,開發周期短,弊端也很明顯,就是克隆出來的handle跟cssrs.exe中的handle ID一毛一樣,很容易被發現,不過這個方法至今仍有生存空間,關鍵在於如何隱藏被克隆的handle。這個後麵再說2.利用驅動讀寫內存,這裏麵有兩個分支,可以選擇氪金(買驅動簽名,當然你有本事偷到那最好),買來的簽名隻有你一個人用,自然生存期會非常長(具體多長我也不知道,畢竟買不起),也可以選擇利用已有簽名的驅動的漏洞,去年還是前年被公開的GPU-Z的驅動漏洞就是個例子,這個路子的優勢是不需要花錢就有認證的驅動用,壞處是漏洞一旦被公開,你知道了別人也知道,生存周期一般不超過3個月,就要換漏洞,如果專業幹這行的,可以自己去挖漏洞,其實很多硬件廠商的驅動都有漏洞,未授權內存讀寫非常常見。下麵說說如何隱藏讀寫內存行為。首先說說隱藏handle,因為不管用任何方法讀寫內存,最終操作的是指向內存進程的handlehandle一旦拿到,想讓他消失是不可能的事,除非你釋放他,我們能做的就是把他藏起來,或者說讓他看起來好像一個正常的線程操作行為,這裏麵的技巧太多了,我也隻懂個皮毛,這裏我就說一下我常用的一些方法1.借屍還魂:注入到一個有數字簽名的進程裏,然後通過合法進程來打開handle,我喜歡用輸入法進程做掩護,因為輸入法本身就有各種遠程注入行為,所以使用輸入法進程藏handle看起來也能掩人耳目。2.截胡法:這個方法我猜是我首創?? 具體步驟:隨便用個爛驅動漏洞,把dll注入到殺毒軟件一類具有極高線程操作能力(自帶合法簽名驅動)的線程中,然後掛鉤子,夠openprocess,然後開始殺毒掃描,等殺毒軟件拿到遊戲的handle,把handle替換了返回給殺毒軟件,這樣最後掃描完成殺毒軟件就不會正常釋放這個handle,這樣handle就被截胡了,這個原理是:BE不會讓你用爛驅動注入掛鉤子,但是殺毒軟件沒那麼敏感(殺毒軟件不會ban你的帳號對吧),但是殺軟打開目標進程的handle,這就是非常正常合法的行為了。
本係統基於C/S結構設計,包含服務器端和客戶端兩大部分。
服務器端主要負責策略定製與實施,並控製客戶端的行為。
客戶端主要負責具體的安全保護。如外掛掃描,防盜號,防修改遊戲內存等。