吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 25444|回复: 120
上一主题 下一主题
收起左侧

[Windows] 【Cheat Engine 、CrySearch、ReClassEx】【无视一切内核保护】

    [复制链接]
跳转到指定楼层
楼主
untiy 发表于 2020-11-25 19:09 回帖奖励
本帖最后由 untiy 于 2020-12-25 18:53 编辑


原本想分析一个软件,可是那软件居然有驱动保护!!! -> EasyAntiCheat
内核回调抹除权限 + 挂钩重要函数
我是用Cheat Engine、CrySearch、ReClassEx都没有用
于是我就尝试上网查找一下有没有人魔改一下这些工具,直接下载一个下来用得了
可是怎么也找不到,好吧,自己动手丰衣足食,所以我就魔改了一下这三款工具
将它们从普通版升级为了超级版,无视一切应用层+内核层保护,照样分析软件
实现方法就我也Hook相关函数进行操作从而绕过防护软件


先放上我的测试截图开开眼 :

CrySearch获取不到进程信息但是却能查找数据(需要管理员方式运行,报错不管它,直接查找数据就行) 建议VMP加密 + 文件改名


Cheat Engine没显示进程图标也没关系,直接查找内存数据就行,X86 X64版本选错可能查不了数据可要注意了
不能附加调试(VEH可能行),但是可以分析指针引用,你们可以用VMP加密一下和修改一下文件名称,毕竟这是原版Cheat Engine


ReClassEx分析结构体没得说了,还是VMP + 改名就行



这三张图就分别对应那三个我魔改出来的超级工具

火绒报毒的驱动检测(https://habo.qq.com/file/showdetail?pk=ADcGY11sB2UIP1s%2FU2I%3D) :



再看一张图吧(不像易语言教程那样要替换掉防护驱动才能) :



说明 :
因为要和软件的保护系统对抗,那我必须也要用驱动才行呀,不然根本没戏呀,所以我也用驱动。
但是在Win10系统下,驱动要求有签名才能加载,所以我无奈只能使用一些泄露的证书进行签名。
这些证书一些黑客也再用,我也再用,所以有这个签名的驱动都被火绒认定为病毒,如果你们怕电脑中毒的话可以使用一个影子系统尝试。


因为我现在的需求就是简单查找一下游戏的内存相关,所以我只处理了内存操作相关的函数。
也就是说调试进程或者申请内存或者变速之类的函数我都没有做修改

ReClassEx超级版下载地址 : https://wwx.lanzoux.com/itdCZipsoej
CrySearch超级版下载地址 : https://wwx.lanzoux.com/ibCqSipsreh
Cheat Engine超级版下载地址 : https://wwx.lanzoux.com/iPNzQipsw6j

后面再放一个Github项目地址,以防更新 :https://github.com/FiYHer/Game-Cheating-Tutorial/tree/master/%5B%E5%B7%A5%E5%85%B7%5D%20%5B%E6%9C%AC%E4%BA%BA%5D%20Bypass%20AC%20analytics%20games


2020.12.15更新




上一个版本只hook了ReadProcessMemory和WriteProcessMemory函数,只能操作基本内存
这个版本多hook了VirtualAllocEx VirtualFreeEx CreateRemoteThread,能够申请\释放内存和注入DLL
另外OpenProcess的时候使用了句柄提权,能够正常显示绿色的基址了(上个版本不行)
怕被定CE的特征码,特意用UPX压缩了一下CE


新版下载地址 : https://wwx.lanzoux.com/i1bCsjdsycb


2020.12.25更新

请各位大佬在Win10系统中测试!!!

请各位大佬在Win10系统中测试!!!
请各位大佬在Win10系统中测试!!!
Win7在我工作环境中已经被淘汰


这驱动被反作弊系统检测到是必然的!!!!
请用小号登录后查找自己需要的相关游戏数据,得到相关地址后该干嘛就干嘛
这个工具是过读写保护而不是过检测!!!
所以封号是大概率的!!


如果需要调试的话请使用官方原版的CE里面的内核调试驱动!!!!







免费评分

参与人数 48吾爱币 +47 热心值 +43 收起 理由
DDxiaotian + 1 + 1 谢谢@Thanks!
又红又专 + 1 + 1 热心回复!
heresy_dd + 1 + 1 鼓励转贴优秀软件安全工具和文档!
神枪泡泡丶 + 2 + 1 用心讨论,共获提升!
Raylamb + 1 + 1 用心讨论,共获提升!
fjt465932593 + 1 用心讨论,共获提升!
少寒 + 1 + 1 我很赞同!
Someones + 1 + 1 谢谢@Thanks!
zlbccjdtc + 1 + 1 谢谢@Thanks!
tanghengvip + 1 + 1 既然子弹内存地址已经有了,开始下载CF!
一菜鸟 + 1 + 1 感谢大神···可惜我还是看不懂,关注后续更新
sd5725288 + 1 + 1 谢谢@Thanks!
Forget# + 1 + 1 已拿走,多谢
nullable + 1 + 1 热心回复!
gen + 1 + 1 谢谢@Thanks!
kill6665 + 1 + 1 谢谢@Thanks!
Jetick + 1 + 1 我很赞同!哥,你让我感觉又可以飞了
老沫 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
netspirit + 1 厉害了
吾爱论坛小朋友 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
jovi + 1 谢谢@Thanks!
汪,被发现了 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
selfswim + 1 + 1 谢谢@Thanks!
l7518597 + 2 + 1 ce能找数据,但是点选是什么访问了该数据里要加载游戏,加载就死
19611024 + 1 + 1 你大哥还是你大哥
MangoDZ + 1 谢谢@Thanks!
jilley409 + 1 + 1 大哥,你让我觉得我的DNF又能飘了
qht1 + 1 + 1 谢谢@Thanks!ReClassEx 不会操作
kch666 + 1 热心回复!
diabloma66 + 1 + 1 先尝尝
applocale + 1 鼓励转贴优秀软件安全工具和文档!
lbj528811 + 1 热心回复!
takamisaki + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
caibing + 1 + 1 我很赞同!
wululu0922 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
eoceo + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
dmxayjn + 1 + 1 我很赞同!
笙若 + 1 + 1 谢谢@Thanks!
bags + 1 + 1 谢谢@Thanks!
antclt + 1 + 1 谢谢@Thanks!
宅宅男 + 1 + 1 先下载了 等大佬研究下
良辰美景 + 2 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
SoYoung2 + 1 + 1 我很赞同!
yinbing + 1 + 1 谢谢@Thanks!
lin_xop + 1 + 1 谢谢@Thanks!
15126819695 + 1 + 1 顶一下
wuai6757620 + 1 火绒一般不报毒 但是要是真的报毒了就。。。
lxwan + 1 + 1 火绒报毒 rmd.sys 文件, 正常吗

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
 楼主| untiy 发表于 2020-12-16 10:21 |楼主
Ningyou 发表于 2020-12-15 22:37
那个我问一下 支付宝余额可以改吗

我这个不行的,因为支付宝没有电脑客户端,只有手机才有客户端,所以我建议你用【八门神器】或者【葫芦侠修改器】去修改支付宝的余额,加油吧兄弟,超越马老板的艰辛重任就落在你肩上了
推荐
 楼主| untiy 发表于 2020-12-25 18:47 |楼主
qht1 发表于 2020-12-25 15:32
WIN7 64
Cheat Engine 已停止工作
问题签名:

请在Win10系统下面运行
请在Win10系统下面运行
请在Win10系统下面运行

Win7在我的工作环境中已经被淘汰
推荐
 楼主| untiy 发表于 2020-12-18 10:13 |楼主
yc小主 发表于 2020-12-18 08:38
win7打开没显示 ,只有进程,不见窗口,这怎么解决呢

有的win7不支持,都淘汰了的系统了
沙发
三栖德鲁伊 发表于 2020-11-25 19:17
打不开啊
3#
xkfy333 发表于 2020-11-25 19:20
干啥子的?听着很牛叉的样子。。
4#
lxwan 发表于 2020-11-25 19:23
火绒报毒。。。 rmd.sys
5#
lin1918 发表于 2020-11-25 19:26
是不是啥都能改啊!!哈哈
6#
 楼主| untiy 发表于 2020-11-25 19:27 |楼主
lxwan 发表于 2020-11-25 19:23
火绒报毒。。。 rmd.sys

因为是使用的是泄露的证书签名的驱动程序,所以火绒检查到驱动的签名才会报毒的
7#
 楼主| untiy 发表于 2020-11-25 19:30 |楼主
lin1918 发表于 2020-11-25 19:26
是不是啥都能改啊!!哈哈

无视tp be eac
8#
 楼主| untiy 发表于 2020-11-25 19:31 |楼主

不应该的呀,都打不开么?
9#
 楼主| untiy 发表于 2020-11-25 19:35 |楼主
说一下报毒的问题,因为的修改要也要用驱动才能和tp be eac那一些东西对抗,所以我也要用驱动程序才行,不然打不过呀。但是驱动程序要求签名后才能正常加载到系统,所以我就用泄露的证书进行签名了,火绒检测到我用泄露的签名,就会报毒。。。如果你们怕的话可以下载一个影子系统后再使用
头像被屏蔽
10#
zhedielj 发表于 2020-11-25 19:38
提示: 作者被禁止或删除 内容自动屏蔽
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 提醒:禁止复制他人回复等『恶意灌水』行为,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 18:08

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表