【轉貼】簡單談談“遊戲公司”所謂的神乎其技的行為偵測（6）

此為本人學習、無聊研究用，為了要備份文章，所以才發在這裡。

作者介紹:
名叫Vxk
又名為killvxk
看雪學院的ID叫cvcvxk
是國內外都很著名的Windows內核開發高手。
十年前活躍於國內著名病毒技術論壇CVC，是中國大陸知名的病毒技術專家。
對操作系統內核以及編程，逆向， 非常精通。
被很多人稱為：技術全能專家。
曾出現在網絡流傳的所謂的“頂級黑客名單”上。
經常活躍在國內外各大知名內核開發論壇，
連老外也經常提及老V這樣的稱呼。
發表很多技術文章，公開了不少經典的內核代碼程序，並帶領了很多內核開發新手。

作者在網路上的ID:中國大陸-看雪學院-cvcvxk

文章版權所有人:看雪學院-cvcvxk

------------正文開始------------


接續第五篇，上回說，這篇主要講講多開檢測。

先來看看一般我們知道的多開檢測有哪些
1.窗口和進程
2.各種各樣的互斥體系（Event啊，Mutext啊，信號量啊，衝突域啊，Atom鎖啊，pipe啊，本地端口啊，MapView啊，LPC啊，還有用RPC COM的，甚至有用特殊Cookie的~）
3.遊戲保護的通信

這三種就是常見的一般全宇宙都知道的~
那麼這裡也不再多說了，接著我來講講少數的
1.硬件id記錄
2.服務器ip記錄
這兩種現在也逐漸被重視了，所以也不是我想說的。

我這裡提一個很少有人注意到的東西::GUID
關鍵API:CoCreateGuid
流程：首先讀取本地保存記錄（可以是臨時註冊表或者臨時文件或者遊戲保護公共內存或者交互式Set的Cookie——Cookie這種模型有時間再細說）裡的GUID，如果沒有就生成一個，然後保存一下；如果有則提取GUID投遞給服務器...
服務器上判斷不同賬戶登錄的GUID出現重複次數，根據CoCreateGUID重複可能性的說法同一個GUID最多同時存在2個...（系統重啟前遊戲保存的GUID一般是不消失的...）

下面是解答某位同學提出的內存檢測的時間了
內存檢測有多種：
常見的是檢測HOOK,這個很常見，基本都知道。
接著是檢測模塊或者代碼，這個也是很常見的。
接著是檢測遊戲信息完備的，這個其實很多都做，但是做的好不好都不好說。
我來談的也是這種檢測信息完備的，做法有很多種，
最常見的就是用複制多個角色對象，然後對比對象，這種比較麻煩的是服務器刷新數據，你要刷新多個對像數據。比較簡單的方法，就是把對象的屬性表（這種檢測一般都是開發商提供代碼的前提下才能進行的）在每次關鍵操作後計算一個HashStamp發給服務器（服務器上也有角色屬性而且也支持Buffer疊加的情況下才ok..）然後就不用說什麼了。
還有一種比較取巧的辦法就是角色按照等級各種屬性有個最大屬性值（裝備按照id屬性也存在最大值,舉例，1級的角色最大HP是300，裝備加成最大是200，於是最多只有500的HP超過500就悲劇吧~），某一項數值超過最大屬性極限時就向服務器發個包，服務器返回一個當前服務器上的角色信息，然後本地再次對比，然後再通知服務器是...

就講到這裡，最後說一下關於VM的問題，歸根揭底很多檢測都是要調用API的，所以只要頂住API的調用，必然可以發現檢測的秘密，所以為了保住檢測的秘密，API現在很多都是reload和抽取的~~

下一篇，講講網頁遊戲怎麼做檢測的。

從頭看起第一篇位置：http://bbs.pediy.com/showthread.php?t=166288
PS：如果需要講一些其他的檢測，請在本帖跟帖說明就行了，但是本人不針對任何遊戲進行任何闡述，只能對某種檢測進行一些解釋和說明。


.