吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 9921|回复: 35
收起左侧

[游戏安全] 某厂某游戏反作弊系统的小探 续1

  [复制链接]
他乡 发表于 2020-7-17 00:01
本帖最后由 他乡 于 2020-7-17 00:02 编辑

前言
近日,笔者在和同僚们交流经验时偶然谈到了一款游戏,这款游戏零几年就开始公测,也算是游戏中的老款了,有一位朋友抱怨它的反作弊机制比较另类,遂与我对市面上的作弊软件进行了几天的研究,相关内容如下,望诸君友好交流,与游戏厂商齐进步,并遵守法律法规
注:文章原创
-------------------------------------------------------------------------------------------------------------------------------------
最近游戏更新,文中图片有的是之前截下的,没有截新的

上文续集

上文中我们提到了从6000这个功能一窥检测机制,并只介绍了一种调用(前文末图一)的处理方法。另一种(前文末图二)的处理方式如下。
5.png
(上文图)我们使用OD附加,跳转至此处
继续下断,断下后返回,跳过混淆部分。


1.png



仔细一看,这个检测调用很有特点,这一块代码位于Top-Kart.dll模块
但是检测代码处于GameRpcs.dll模块中 实现了模块间的调用
图中的0xee5ee2e4 即为函数指针

事实上,0xee5ee2e4用模块偏移表示一下就是基址,我们如果要处理的话直接写入0即可
而我们在内存浏览窗口跳转至基址的话就会发现全都是函数指针(没错,基本都是检测)

我们下断,再跳转至上层:


2.png


画圈的call是返回处

下面其实还有一个add esp,14h (41h = 20 = 4*5)
即检测call有5个参数
再对比一下上个图里面的call,发现也是五个参数
笔者几次下断后,发现几个参数多是某个范围内的循环(随机?)值
没有什么结论,笔者上下翻看,发现上图中的call(红色波浪线)混淆严重
并且也是五个参数,可以认定为检测call

根据笔者的经验,如果我们直接处理(直接nop或其它)的话,那么将必死无疑。


大家都知道,检测代码常和一些发包(这样说不准确,或许是内部的随机值)挂钩。
贸然处理多半行不通,行得通就是检测太松。 不过我们先记住这里,一会还会再见。
(聪明的坛友肯定想到了,这个call经历了内部几次call才走到了检测代码movzx 。那我们可不可以直接处理内部的call呢 这个问题我们先保留 )


没办法,我们只能另找出路:

另寻出路


我们还是要从基础的数据下手,往回分析

大型游戏常采用一种叫做CheckPoint的机制来纪录游戏(玩家)数据,csdn上有一篇文章介绍CheckPoint在赛车类游戏编程中 的应用方法(找不到了)。

作者想到了坐标,CE开搜。我们无法确定坐标是float(4字节长度),还是Double(2被)
我们直接搜索四字节未知值,然后移动车子,搜索变动值
将搜索拉下来一半,直接锁定,看看移动是否正常 ,正常的话就说明没有我们要找的坐标地址,删掉这一半,再拉下来一半。。。。。
最终得到了几个地址。再下访问断点,发现访问代码都是读4字节后接着又读了4字节,可以断定是Double类型

XYZ.png
我们下访问断点,有几条代码位于Top-Kart模块内 但多数在NxCharacter.dll 不过这个是Physicx的sdk提供的 游戏公司应该没有做手脚,故不作分析

4.png

第一个是fld浮点运算,查看周围代码,发现这就是本文第一张图里面的代码。
至此说明我们的思路没问题。
时间不早了,今天的分析先到此,好事多磨,各位看官再见。


免费评分

参与人数 10吾爱币 +10 热心值 +9 收起 理由
as1470147 + 1 + 1 虽然看不懂 但是觉得还是应该意思一下
huangjiafu + 1 谢谢@Thanks!
Psyber + 1 谢谢@Thanks!
a921517303 + 2 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
submarine1620 + 1 用心讨论,共获提升!
拿破仑骑乌龟 + 1 + 1 谢谢@Thanks!
shenjiyuan2hao + 1 + 1 用心讨论,共获提升!
二娃 + 2 + 1 用心讨论,共获提升!
so丶小静 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
没事路过 + 1 + 1 谢谢@Thanks!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

wzh123456789 发表于 2020-7-17 00:07
欲知后事如何,请听下回分解                   吾爱说书人您老来了
初音ミク 发表于 2020-7-17 00:27
Tyki 发表于 2020-7-17 02:03
netpeng 发表于 2020-7-17 02:52
摆好零食和咖啡,期待后续
wapjcxz 发表于 2020-7-17 07:00
带着小本本,持续围观中
雨落惊鸿, 发表于 2020-7-17 08:29
继续学习
orisine 发表于 2020-7-17 08:35
学习了,感谢分享
wobzhidao 发表于 2020-7-17 08:38
这个软件确实不错的
小妹の大白腿 发表于 2020-7-17 09:38
厉害了,没怎么看懂!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 02:58

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表