本帖最后由 忆魂丶天雷 于 2022-6-19 16:01 编辑
前言
仅适用于反Cheat Engine VEH调试器附加。且技术含量不高,仅作为参考之用。
原理
CE使用VEH调试器附加目标进程时,会自动调用目标进程中的一些API函数。所以我们就可以采用HOOKAPI函数来达到反制的效果。
简单实现
这里我选取其中两个比较冷门的API(反正我之前没用过)简单尝试。百度了下没有找到相关函数的详细信息,正常情况应该很少使用,如果有人知道这两个函数的具体用途请回帖告诉我,谢谢。
分别是
NtWow64IsProcessorFeaturePresent
NtApphelpCacheControl
那么怎么来HOOK来达到防止附加的效果呢?
目前很多反附加都是一检测到就让程序直接闪退,那么我们就可以参考这种形式。
结束进程我们可以使用TerminateProcess函数。引用下百度百科该函数原型。
BOOL TerminateProcess(
HANDLE hProcess,//进程句柄
UINT uExitCode //进程终止码
);
所以只需要两个参数,一个是进程句柄,一个是进程终止码。
因为是自进程调用,进程句柄可以使用-1,而进程终止码填0或者直接忽略即可。
简单是使用CE的自动汇编来实现了一下。
效果
样品和源码
放一份易语言源码自取。
蓝奏下载链接:wwi.lanzouy.com/ixOlS06n1j6b
密码:52pj
论坛下载链接:
成品和源码.zip
(334.69 KB, 下载次数: 179)
解压密码:Tianlei
|