PDA

查看完整版本 : 调试逆向 【求助】求大大讲解下这个牛逼DOTA挂的过检测原理!


jinabest
2012-08-12, 17:20:29
这个Guai挂太牛了,自动补刀,躲避技能,AI自动操作,还过平台外挂检测!猜想它应该是用了传说的shadow walk手段来躲避内存检测,哪位大牛能分析下它的实现原理?

jinabest
2012-08-12, 17:21:31
官网地址:http://www.war3guai.com/index.php/zh/

viphack
2012-08-12, 18:03:21
汗 一堆SSDT HOOK 都是防止自己的线程被检测 竟然还内核CREATPROCESS回调~~~
随机驱动加载~ 用后卡巴主动防御几乎崩溃了

jinabest
2012-08-12, 23:28:04
汗 一堆SSDT HOOK 都是防止自己的线程被检测 竟然还内核CREATPROCESS回调~~~
随机驱动加载~ 用后卡巴主动防御几乎崩溃了

怎么看到有一堆SSDT HOOK 的?XT和KD工具都看不到啊~~~

viphack
2012-08-13, 08:44:55
怎么看到有一堆SSDT HOOK 的?XT和KD工具都看不到啊~~~

你不用用XUETR看啊 都是SSDT HOOK SHAODWS就几个 都是过滤线层的:confused::confused: 额 我原本以为二级跳转 看了才知道原来是直接hook
按照他的该法,卡巴主动就没了
69624

69625

69626

viphack
2012-08-13, 08:54:38
要我说 他hook ntshutdown 根本就没什么用处 电脑照样子关机还terminateprocess 这个吧OPENPROCESS去掉 进程直接结束掉了 根本没处理好

小调调
2012-08-13, 09:19:09
我从官方下载下来的都是无法解压的, CRC 校验失败