此為本人學習、無聊研究用,為了要備份文章,所以才發在這裡。
作者介紹:
名叫Vxk
又名為killvxk
看雪學院的ID叫cvcvxk
是國內外都很著名的Windows內核開發高手。
十年前活躍於國內著名病毒技術論壇CVC,是中國大陸知名的病毒技術專家。
對操作系統內核以及編程,逆向, 非常精通。
被很多人稱為:技術全能專家。
曾出現在網絡流傳的所謂的“頂級黑客名單”上。
經常活躍在國內外各大知名內核開發論壇,
連老外也經常提及老V這樣的稱呼。
發表很多技術文章,公開了不少經典的內核代碼程序,並帶領了很多內核開發新手。
作者在網路上的ID:中國大陸-看雪學院-cvcvxk
文章版權所有人:看雪學院-cvcvxk
------------正文開始------------
接續上篇 第三篇~
先補充點檢測技巧
很多人會注意到檢測掃描中的進程,模塊,窗口的掃描(大部分寫檢測的人都覺得這些就ok了),但是不會注意到可以通過掃描本地TCP連接信息來檢測——比如某輔助會連接固定登錄驗證服務器(ip?端口?),於是服務器上添加一個掃描特徵,完爆之,以後只要是這個服務器的輔助直接就是不解釋封號...
接著進行本篇的部分,上次繼續講了通過call的輔助的檢測,這次就不講它了,我換個話題,講講一直以來被很多人推崇的模擬設備操作的輔助的檢測。
首先對後台模擬按鍵的檢測
有兩種後台模型,一種是消息的,不過估計現在已經絕種了,是個遊戲公司開發都會dinput了。
一種是dinput裡做手腳,兩者檢測方式一樣,直接用GetKeyState結合GetForegroundWindow爆菊花(通過其他方式獲取按鍵狀態和窗體位置層次信息一樣可以哦)——檢測出來不封號,直接服務器留個記錄,等那天高興了再封。
接著就是純前台的SendInput或者驅動(NTIO也算是驅動吧)模擬的,這種其實很不好檢測,在32位系統里通常是通過內核hook來進行處理的,但是對於64位系統或者重載內核繞過hook的情況則需要一些新的小技巧就是記錄按鍵點擊的相對坐標,一般模擬輔助的點擊坐標都是非常穩定的,然後通過一組特徵來檢測,不過這裡已經涉及超出本篇的內容了——必須抓到樣本才可以了。
第四篇有點水,第五篇盡量就來點不水的內容。
.
|