搜尋


返回清單
切換到指定樓層
通知這文章過時或找檔案 發表主題

[其他] 【轉貼】簡單談談“遊戲公司”所謂的神乎其技的行為偵測(4)

[複製連結]
1
SheepKingCN ( Lv.80 論壇達人 ) 發表於 2013-8-18 13:08:02 | 只看該作者 回覆獎勵 |降序瀏覽 |閱讀模式
此為本人學習、無聊研究用,為了要備份文章,所以才發在這裡。

作者介紹:
名叫Vxk
又名為killvxk
看雪學院的ID叫cvcvxk
是國內外都很著名的Windows內核開發高手。
十年前活躍於國內著名病毒技術論壇CVC,是中國大陸知名的病毒技術專家。
對操作系統內核以及編程,逆向, 非常精通。
被很多人稱為:技術全能專家。
曾出現在網絡流傳的所謂的“頂級黑客名單”上。
經常活躍在國內外各大知名內核開發論壇,
連老外也經常提及老V這樣的稱呼。
發表很多技術文章,公開了不少經典的內核代碼程序,並帶領了很多內核開發新手。

作者在網路上的ID:中國大陸-看雪學院-cvcvxk

文章版權所有人:看雪學院-cvcvxk

------------正文開始------------

接續上篇 第三篇​​~
先補充點檢測技巧
很多人會注意到檢測掃描中的進程,模塊,窗口的掃描(大部分寫檢測的人都覺得這些就ok了),但是不會注意到可以通過掃描本地TCP連接信息來檢測——比如某輔助會連接固定登錄驗證服務器(ip?端口?),於是服務器上添加一個掃描特徵,完爆之,以後只要是這個服務器的輔助直接就是不解釋封號...

接著進行本篇的部分,上次繼續講了通過call的輔助的檢測,這次就不講它了,我換個話題,講講一直以來被很多人推崇的模擬設備操作的輔助的檢測。

首先對後台模擬按鍵的檢測
有兩種後台模型,一種是消息的,不過估計現在已經絕種了,是個遊戲公司開發都會dinput了。
一種是dinput裡做手腳,兩者檢測方式一樣,直接用GetKeyState結合GetForegroundWindow爆菊花(通過其他方式獲取按鍵狀態和窗體位置層次信息一樣可以哦)——檢測出來不封號,直接服務器留個記錄,等那天高興了再封。
接著就是純前台的SendInput或者驅動(NTIO也算是驅動吧)模擬的,這種其實很不好檢測,在32位系統里通常是通過內核hook來進行處理的,但是對於64位系統或者重載內核繞過hook的情況則需要一些新的小技巧就是記錄按鍵點擊的相對坐標,一般模擬輔助的點擊坐標都是非常穩定的,然後通過一組特徵來檢測,不過這裡已經涉及超出本篇的內容了——必須抓到樣本才可以了。

第四篇有點水,第五篇盡量就來點不水的內容。


.





大家正在看啥


收藏收藏 分享文章到FB上分享
回覆 使用道具 檢舉
複製專屬你的推廣連結:發至FB與各論壇宣傳:累積點數換GP商品 & 藍鑽
每五點閱率就可以兌換藍鑽積分或遊戲點卡 夢遊推廣文章換GP商品

你需要登入後才可以回覆 登入 | 加入會員

本版積分規則

Copyright (C) 2010-2020 夢遊電玩論壇

廣告合作:請直接聯繫我們,並附上您預刊登位置的預算。  

快速回覆 返回頂端 返回清單