吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 29812|回复: 46
收起左侧

[游戏安全] BE反外挂系统bypass思路

  [复制链接]
usualwyy 发表于 2018-2-1 20:20
本帖最后由 usualwyy 于 2018-2-1 20:47 编辑

这两年国内吃鸡开始流行了,可是我前年就玩腻了,我玩吃鸡不是玩游戏,是玩他的反外挂系统,正所谓与AC(Anti Cheat)斗其乐无穷啊,哈哈,这里分享当年的一些bypass小经验,现在还管不管用我不知道了,权当跟各位大神分享讨论把,已经知道大神的就别喷我了,如果有更好的思路也希望不吝赐教,毕竟我只是彩笔一个
只说思路,源码后头硬盘上翻翻,找到就发出来

我打字慢,一点一点更新,勿怪

越过BE(以及其他反外挂系统)有两个重要环节
1.读取被驱动保护的内存
2.防止读写行为被发现

一个环节一个环节说
读取被驱动保护的内存主要有两种手段
1.克隆handle,这个方法前年公开(也有可能早就公开了就是我不知道,唉),从系统进程cssrs.exe handle出来,这个方法好处是百发百中,成本低,开发周期短,弊端也很明显,就是克隆出来的handle跟cssrs.exe中的handle ID一毛一样,很容易被发现,不过这个方法至今仍有生存空间,关键在于如何隐藏被克隆的handle。这个后面再说
2.利用驱动读写内存,这里面有两个分支,可以选择氪金(买驱动签名,当然你有本事偷到那最好),买来的签名只有你一个人用,自然生存期会非常长(具体多长我也不知道,毕竟买不起),也可以选择利用已有签名的驱动的漏洞,去年还是前年被公开的GPU-Z的驱动漏洞就是个例子,这个路子的优势是不需要花钱就有认证的驱动用,坏处是漏洞一旦被公开,你知道了别人也知道,生存周期一般不超过3个月,就要换漏洞,如果专业干这行的,可以自己去挖漏洞,其实很多硬件厂商的驱动都有漏洞,未授权内存读写非常常见。

下面说说如何隐藏读写内存行为。
首先说说隐藏handle,因为不管用任何方法读写内存,最终操作的是指向内存进程的handle
handle一旦拿到,想让他消失是不可能的事,除非你释放他,我们能做的就是把他藏起来,或者说让他看起来好像一个正常的线程操作行为,这里面的技巧太多了,我也只懂个皮毛,这里我就说一下我常用的一些方法
1.借尸还魂:注入到一个有数字签名的进程里,然后通过合法进程来打开handle,我喜欢用输入法进程做掩护,因为输入法本身就有各种远程注入行为,所以使用输入法进程藏handle看起来也能掩人耳目。
2.截胡法:这个方法我猜是我首创?? 具体步骤:随便用个烂驱动漏洞,把dll注入到杀毒软件一类具有极高线程操作能力(自带合法签名驱动)的线程中,然后挂钩子,够openprocess,然后开始杀毒扫描,等杀毒软件拿到游戏的handle,把handle替换了返回给杀毒软件,这样最后扫描完成杀毒软件就不会正常释放这个handle,这样handle就被截胡了,这个原理是:BE不会让你用烂驱动注入挂钩子,但是杀毒软件没那么敏感(杀毒软件不会ban你的帐号对吧),但是杀软打开目标进程的handle,这就是非常正常合法的行为了。

免费评分

参与人数 17吾爱币 +19 热心值 +16 收起 理由
jimmyboy + 1 + 1 我很赞同!
caowei1 + 1 + 1 我很赞同!
NoobHunt42 + 1 + 1 谢谢@Thanks!
qaz003 + 3 + 1 谢谢@Thanks!
znhacker + 1 + 1 谢谢@Thanks!
hcloveld + 1 谢谢@Thanks!
hmd111 + 1 + 1 不明觉厉!
peter_king + 1 谢谢@Thanks!
?﹏從此沉默 + 1 + 1 我很赞同!
夜晚的海鸥 + 1 + 1 用心讨论,共获提升!
984754551 + 2 + 1 热心回复!
caizzx + 1 + 1 谢谢@Thanks!
Honey丶Linux + 2 + 1 我很赞同!
hiflydragon + 1 + 1 我很赞同!
茶叶ˇ蛋℡ + 1 这两年?吃鸡这游戏已经开始黄了
流水易 + 1 + 1 用心讨论,共获提升!
lin326326 + 1 + 1 谢谢@Thanks!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

3ric 发表于 2018-2-2 15:20
碰上了有相同爱好的人,那我也就交流一下(我看到的老外的方法)?
说实话我还是觉得老外是实实在在研究的人。。。国内的挂都是些什么垃圾哦。。。基本都是e写得。。。
楼主所说的获得系统进程handle:https://github.com/Schnocker/HLeaker
This allows you to use the process handles from services/protected processes like csrss and lsass.
用到了cpu-z的驱动,已被be检测,当然可以自己魔改过检测

最近在研究的神器:
https://github.com/waryas/EUPMAccess
https://github.com/waryas/UMPMLib
利用华硕的驱动,直接取得物理内存的读写权限,而且只要电脑不重启,就一直有。。。
这就不只可以拿来做挂了吧233,是不是有点像之前的meltdown漏洞???
对的,这个的问题就是你得卸载掉之前windows推送的补丁,要不然读不到物理内存。。。
mmyyqw 发表于 2018-2-1 22:44
前天开了个挂 然后上游戏一直显示连接不上服务器 我以为被封了 然后上以前被封的账户 上游戏后也显示同样的英文 对不起 什么什么的无法连接服务器···而不是显示被永久封禁的英文,也没开加速器就一直点刷新刷新然后就跳到人物界面去了 我有发过帖子 没审核通过 估计这是个BUG 但是没人信我~~~我也没办法···哈哈哈然后下游戏在上游戏就不行了····
fengjian 发表于 2018-2-1 20:35
Quincy379 发表于 2018-2-1 20:35
大神你好,能提供源码最好不过了!!!
一条命除以二 发表于 2018-2-1 20:40
看不懂 大神
疯子涡轮 发表于 2018-2-1 20:44
这个听上去是真真牛逼
tangfangxi 发表于 2018-2-1 20:45
大神你好,能提供源码最好不过了!!!
SoulMen 发表于 2018-2-1 20:53
理论知识很强势,具体操作起来难上天了~
 楼主| usualwyy 发表于 2018-2-1 20:57
SoulMen 发表于 2018-2-1 20:53
理论知识很强势,具体操作起来难上天了~

的确如此,这些理论是我损失了7个Steam号得出的经验
hiflydragon 发表于 2018-2-1 21:03
MARK一下
kingwl 发表于 2018-2-1 21:05
厉害厉害  两年前
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 16:06

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表