说一下游戏是如何检测外挂非法调用call的|::::广海游戏:::: - ★广海社区★ -
授人以鱼不如授人以渔 - Powered by phpwind
查看完整版本: [--
说一下游戏是如何检测外挂非法调用call的
进入每一个call，都会在堆栈中压入下一EIP的地址，以便于返回，这刚好就可以在函数头或函数尾部加上检测，对比压入堆栈的数据是否超过相应范围，比如说一个外挂dll，调用游戏里的一个功能call，这个dll的基地址是，而游戏里的检测是，若压入EIP超出exe内存大小就判为外挂，这种判断的话，一般是100%判为外挂，几乎也是100%封号。 ，现在游戏基本上都是这种监测吧，不过还有其他的方法，过发也很简单，只是时间问题。&这贴可能就是这种情况&&
知道的就不说了
是这样啊。～～～ 封号 长出现了`
楼主能详细点吗？我的就是会检测call,我看过游戏调用call的过程游戏没有hook什么，比一下以前的没有检测汇编一样。没有改。但还是会检测。！
如何解决呢?用自己的程序启动游戏,启动前注入DLL?
1是找到检测的地方.QJ掉.&&2是找空白区域.把代码写进去.再调用.这样就不会超范围了吧.&&目前就想到这2种.
引用楼主BruceLee于 06:25发表的 说一下游戏是如何检测外挂非法调用call的 :&进入每一个call，都会在堆栈中压入下一EIP的地址，以便于返回，这刚好就可以在函数头或函数尾部加上检测，对比压入堆栈的数据是否超过相应范围，比如说一个外挂dll，调用游戏里的一个功能call，这个dll的基地址是，而游戏里的检测是，若压入EIP超出exe内存大小就判为外挂，这种判断的话，一般是100%判为外挂，几乎也是100%封号。[表情] ，现在游戏基本上都是这种监测吧，不过还有其他的方法，过发也很简单，只是时间问题。&这贴可能就是这种情况&/bbs/read-htm-tid-85869.html& &&首先入栈函数滴返回地址。比如是0x404000。那不管是程序那个模块在调用完这个函数。它还是应该返回到0x404000呀&至于你说滴检测是下面这个嘛？？？&MOV EAX,DWORD PTR DS:[32A3E4]&XOR EAX,EBP&MOV DWORD PTR SS:[EBP-10],EAX&&&&函数头部&这种好像是现在MSVS编译器 检测栈溢出滴方法。。。所有使用VS编译滴程序。。。都有这种&这种东西如何检测外挂？？？ 请指教&MOV ECX,DWORD PTR SS:[EBP-10]&& 函数尾部&XOR ECX,EBP&&
我想问，那游戏里的dll是如何处理，难道他不用dll?
只要call函数有头或有尾就行，7楼，很明显可以过滤掉合法的dll，或合法的调用
在游戏 exe空间内找到一个空区域&&比如很多 ini3 (cc)的 &&&&&&&&58&&&&&&&&&&&&pop eax&&&&&&&FFD0&&&&&&&&&&call eax&&&&&&&C3&&&&&&&&&&&&ret&写入这样的代码&&&然后 调用就很简单了&&比如 选怪call的原型是&push id&call 445555&&我们则这样处理&&push id&push 445555&mov eax,&call eax&
DNF那几个VM，本人还是有能力还原的，轻松过掉&你说检测时间吧，明显不现实，还不如检测esp，就拿DNF说吧，升级就会调用48001这个技能，而且是怪物调用的话，那你怎么检测呢？&魔笛就是把4对调，调用48001，却触发的20044，+定住怪物动作，欺骗检测&&我想的是，比如游戏正常调用技能call，设置变量a=1，也可以是技能参数，在技能call里面对比&a是否等于1，不等则非法，等就设置a=0，正常调用技能。不过还是能过掉的，时间问题
引用第13楼BruceLee于 05:02发表的 回 11楼(XS) 的帖子 : &DNF那几个VM，本人还是有能力还原的，轻松过掉[表情] &你说检测时间吧，明显不现实，还不如检测esp，就拿DNF说吧，升级就会调用48001这个技能，而且是怪物调用的话，那你怎么检测呢？ &魔笛就是把4对调，调用48001，却触发的20044，+定住怪物动作，欺骗检测 &我想的是，比如游戏正常调用技能call，设置变量a=1，也可以是技能参数，在技能call里面对比 &.......
& &&modi竟然还没河蟹啊
应该是call选的不好吧，比如call A 和 call B都是走路的，他们的关系是call A 中调用call B，当call A 中有一些其他的检测的操作，当你使用call B的时候，就会出错&&返回地址检测估计也是一个道理， 你call B的时候 B里面检测返回地址是否在A里面，那你就选A做为call， 如果A里检测，那就再返回一层，， 纯属猜测
学习了谢谢楼主
我是来膜拜XS大牛与Ljgh大牛，以及广海潜水的大牛的。&&XS大牛，完全没有考虑服务器的感受，魔笛肯定保留得有不同版本的游戏客户端，都懂的&&18楼的大侠，想发也不错
谢谢楼主！
继续观摩中……………………
查看完整版本: [--
Powered by
Time 0.081572 second(s),query:2 Gzip enabled龙之谷多开|::::广海游戏:::: - ★广海社区★ -
授人以鱼不如授人以渔 - Powered by phpwind
查看完整版本: [--
&Pages: ( 2 total )
龙之谷多开
就一个CreateMutex&但是改了这个点后第二个客户端&可以打开但是不能连接服务器。&继续研究中。。&谁多开成功了吗？
我也想研究下
外挂海上是用E驱动写的，就一个加载驱动，没编译成功。
能说说 怎么找到互斥量&&并释放它吗？
带参数就行了&&华南电信一区=/ip:119.147.185.13;119.147.185.13;119.147.185.14;119.147.185.14;119.147.185.26;119.147.185.26 /port:;; /Lver:2 /use_packing&华南电信二区=/ip:119.147.185.85;119.147.185.85;119.147.185.86;119.147.185.86;119.147.185.98;119.147.185.98 /port:;; /Lver:2 /use_packing&华南电信三区=/ip:119.147.185.141;119.147.185.141;119.147.185.142;119.147.185.142;119.147.185.154;119.147.185.154 /port:;; /Lver:2 /use_packing&华南电信四区=/ip:119.147.185.230;119.147.185.230;119.147.185.243;119.147.185.243;119.147.185.244;119.147.185.244 /port:;; /Lver:2 /use_packing
学习了。。。。
不错,知道了!&详细点就更好了!
CreateMutex 这个到底怎么改的啊
希望研究出来，方便大家
IDA 里找到 GetLastError&然后找到调用。有个前面是CreateMutexW&&就是了&然后把他下面&的比较后的JNZ改成JMP。旧可以了&&我说话都是有表达不是很清楚 见谅。
多开后不能连接服务器，那还是没用吧
密码验证的时候取了你的网卡ID，自己想办法改一下
11D9E459&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 34&&&&&&&&&&&&&&&& 4&11D9E469&&30 2D 36 31 2D 38 36 2D 30 35 2D 46 36 2D 41 34&&0-61-86-05-F6-A4&11D9E479&&57 44 2D 57 4D 41 54 56 30 32 37 39 33 37 36 43&&WD-WMATV0279376C&11D9E489&&38 37 43 38 44 39 30 41 64 6D 69 6E 69 73 74 72&&87C8D90Administr&11D9E499&&61 74 6F 72 57 49 4E 2D 39 46 36 51 56 50 4A 4E&&atorWIN-9F6QVPJN&11D9E4A9&&42 52 54&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&看这段，取了你计算机的一些信息
050B 45 52 49 44 3D 4F 62 32 51 51 6D 65 56 69&&USERID=Ob2QQmeVi&050B 62 50 49 4A 6E 39 2F 52 37 31 77 3D 3D 5E&&IVbPIJn9/R71w==^&050BE 50 57 44 3D 70 67 64 67 72 47 44 59 62 37&&$^PWD=pgdgrGDYb7&050BD 5E 24 5E 41 50 50 49 44 3D 38 39 5E 24 5E&&8=^$^APPID=89^$^&050B 45 41 49 44 3D 35 5E 24 5E 47 55 49 44 3D&&AREAID=5^$^GUID=&050B88A0&&33 44 44 46 43 45 38 33 38 31 36 39 34 42 35 38&&3DDFCE&050B88B0&&42 41 35 39 37 41 41 42 35 41 44 34 43 41 32 30&&BA597AAB5AD4CA20&050B88C0&&5E 24 5E 43 4C 49 45 4E 54 49 50 3D 31 39 32 2E&&^$^CLIENTIP=192.&050B88D0&&31 36 38 2E 31 2E 31 30 31 5E 24 5E 43 4C 49 45&&168.1.101^$^CLIE&050B88E0&&4E 54 53 49 47 4E 41 54 55 52 45 3D 34 44 33 36&&NTSIGNATURE=4D36&050B88F0&&46 38 41 31 45 43 38 31 30 37 35 41 39 31 34 37&&F8A1EC&050B 42 30 42 38 34 37 42 35 34 44 5E 24 5E 43&&0CB0B847B54D^$^C&050B 43 4B 43 4F 44 45 3D 5E 24 5E 49 4E 44 49&&HECKCODE=^$^INDI&050B 54 49 4F 4E 3D&&&&&&&&&&&&&&&&&&&&&&&&再看这段
这里面的GUID是服务器发下来的，CLIENTIP是你本机的IP，CLIENTSIGNATURE应该就是根据本机信息算出来的东西，应该是这个导致不能连接服务器，自己想办法解决吧
上面这个包是未加密前的，要经过加密再发到SD的账号验证服务器上
回帖。。。。拿走~~~~~~~~
我也说话都是有表达不是很清楚 见谅
学习了。。。。
多开这么难吗？好象不会吧
都想研究出来
发现注入DLL被检测..
不错，都很有创意，谢谢
用代理 ip就变了&&
多开这么难吗？好象不会吧
不错，留下看看&
我妈妈告诉我看了帖子要回帖要不没积分
不错，留下看看 N..j{FE&&&
感觉现在过驱动的很多。。。多开的还少一点。
多开其实是小技巧，不如过保护刺激，，尤其龙之谷的多开。。。
带ip多开能进，但是进去报毒断线，关键是怎么过多开检测，甚至虚拟机都过不了，因为用cup虚拟显示加速，盛大报为加速类型进去马上断线，都是嘴上说的容易到现在网上仍没见一个搞成的
三开算多开不？&
晕叉叉，竟然没传上照片。。
多开简单，多开不掉线，不报毒才是关键
33楼怎么能的，不报毒，不掉线？
学习了。。。。
谢谢........
学习了&&虽然还是不会
挖。。。我明白啦。。&
哇，我也明白啦
9楼高手 膜拜
好贴，有空研究一下
mark 这是个好的帖子
打完酱油回家
用户被禁言,该主题自动屏蔽!
看了就实验
查看完整版本: [--
Powered by
Time 0.083056 second(s),query:2 Gzip enabled