反CE VEH调试器附加的一种方法
本帖最后由 忆魂丶天雷 于 2022-6-19 16:01 编辑**前言**
---
仅适用于反Cheat Engine VEH调试器附加。且技术含量不高,仅作为参考之用。
**原理**
---
CE使用VEH调试器附加目标进程时,会自动调用目标进程中的一些API函数。所以我们就可以采用HOOKAPI函数来达到反制的效果。
**简单实现**
---
这里我选取其中两个比较冷门的API(反正我之前没用过)简单尝试。百度了下没有找到相关函数的详细信息,正常情况应该很少使用,如果有人知道这两个函数的具体用途请回帖告诉我,谢谢。
分别是
> NtWow64IsProcessorFeaturePresent
> NtApphelpCacheControl
那么怎么来HOOK来达到防止附加的效果呢?
目前很多反附加都是一检测到就让程序直接闪退,那么我们就可以参考这种形式。
结束进程我们可以使用TerminateProcess函数。引用下百度百科该函数原型。
> BOOL TerminateProcess(
HANDLE hProcess,//进程句柄
UINT uExitCode //进程终止码
);
所以只需要两个参数,一个是进程句柄,一个是进程终止码。
因为是自进程调用,进程句柄可以使用-1,而进程终止码填0或者直接忽略即可。
简单是使用CE的自动汇编来实现了一下。
**效果**
---
**样品和源码**
---
放一份易语言源码自取。
蓝奏下载链接:**** Hidden Message *****
论坛下载链接:
解压密码:Tianlei
{:301_973:}别私信我,私信回复还要扣CB,我穷不回!{:301_999:} 搜索曾经的回忆 发表于 2022-6-19 17:45
好像兼容性有点问题,win7 64测试
另外,这个api的用法我也不是很明白,但是可以举一反三下,可以去MSDN查 ...
本机测试环境为win10 64位 win7的确没有测试过。
可以换NtApphelpCacheControl这个函数试试?
那可能就是IsProcessorFeaturePresent的更底层了 应该是用来查询是否支持某些指令集。 大佬 学习 {:301_973:}设置回帖隐藏竟然无效吗 大佬牛B{:1_919:} 忆魂丶天雷 发表于 2022-6-19 15:58
设置回帖隐藏竟然无效吗
{:301_992:}我还是想看你的ce系列,看了你几篇文章 实战了下,确实实现了很多功能,不过对于穿墙 好像真的没有很多相关教程。 我看了贪吃蛇 教程,但是我所研究的单机游戏, 好像和这个不太一样,好像是有线程一直在访问人物地址,下断点会一直段掉,没办法分析 大佬 学习
666666666666 66666666