首页
论坛
专栏
课程

[原创]记录我与LOL检测迂回的这半个月: 第三篇

2019-2-10 02:05 8295

[原创]记录我与LOL检测迂回的这半个月: 第三篇

2019-2-10 02:05
8295

这篇帖子可以结帖了, 感谢 DebugSp 大神提供的思路


代码段没法发了,因为里面有别人的东西(发了之后避免不了一些不法分子会利用,所以这里只分享处理检测流程和思路)
目前整体已经完善好了,写这个帖子不是教大家怎样去过检测写外挂,而是教大家一些好的思路
核心代码执行流程



1.过机器码: 目前2种办法,一种替换DLL,另一种是让返回值随机,因为我总调试游戏
我直接替换了DLL因为有时候进游戏没加载我忘记加载我的DLL,就完蛋了,如果不商业的话,建议用替换DLL方法,放到Game目录即可,DLL在附件中

2.处理游戏检测CALL,例如释放技能,走路,等等,已经定位了几个重要的检测CALL,处理后发现还有很多检测CALL,但是不知道再检测什么东西,所以全盘了,如果出问题再注释,也方便,这个在第一篇说过了,这里不再细说

3.处理GameRpcs的CRC,处理CRC的思路也很多,这里我用的是转移大法,然后再创建一个线程循环清除GameRpcs记录的数据信息

VOID 清除记录()
{
	DWORD 计次变量 = 0;

	while (GameRpcsBase)
	{
		Sleep(10000);
		RtlCopyMemory(LPVOID(GameRpcsBase + 0x1713A4), &计次变量, sizeof(DWORD));//时间计时
		RtlCopyMemory(LPVOID(GameRpcsBase + 0x17141C), &计次变量, sizeof(DWORD));//鼠标计次
		RtlCopyMemory(LPVOID(GameRpcsBase + 0x171424), &计次变量, sizeof(DWORD));//键盘计次
		计次变量++;
	}
}

TCJ(可以不清Buffer,直接改Buffer指向一片干净的内存区域)
监视TCJ读了哪块内存,HOOK,如果当前读内存的地址 大于 你要保护的模块地址 或 小于 你要保护的模块地址 + 模块大小,则清空他的Buffer


HOOK FindWindow 或者写个 EnumWindowsProc 还有要HOOK CreateFile 做好外部检测防御,其实就这些了,到结帖,已经过掉全部检测,其实就这些了
算上三局教程 10局 突然觉得开挂没有意思了,没继续打了,过几天研究研究 apex英雄  再次感谢 DebugSp 大神提供的思路


[推荐]看雪企服平台,提供安全分析、定制项目开发、APP等级保护、渗透测试等安全服务!

最后于 2019-2-10 02:57 被苏苏苏苏苏苏编辑 ,原因:
上传的附件:
上一主题 下一主题
打赏 + 20.00
打赏次数 1 金额 + 20.00
收起 
赞赏  八宝咸鱼   +20.00 2019/02/12 咦嘻嘻~ 感觉,加个精是莫得问题
最新回复 (38)
将军gg 2019-2-10 05:23
2
0
老哥  能不能给我点思路交流下 QQ317108156  希望看到加下我  可以给你福利  弟弟肯定楼主大佬加我下
白菜大哥 2019-2-10 06:44
3
0
好久没打lxl了,(估计以后也不玩了)。不得不说,楼主真是人才,不是说技术方面,而是思维模式和毅力。祝楼主越来越好。
无法无天shen 2019-2-10 09:35
4
0
感谢楼主分享
冰雪冬樱 2019-2-10 13:20
5
1
下一篇帖子会是 《腾讯为什么叫看雪删我帖子》吗 
邓dg 2019-2-10 15:20
6
0
牛比啊
aabiaobiao 2019-2-10 18:14
7
0
下次打赏
Cohen 2019-2-10 20:37
8
0
牛逼 给个代码参考就好了 
CCkicker 2019-2-10 21:35
9
0
感谢分享!
未必真的晒 2019-2-11 00:37
10
0
GameRpcs里面的双crc是怎么个找法..在游戏的地址上下访问丝毫断不下来..
- 安 2019-2-11 02:31
11
0
大佬能留个联系方式吗 有生意找你谈 596920061
苏苏苏苏苏苏 2019-2-11 02:31
12
0
未必真的晒 GameRpcs里面的双crc是怎么个找法..在游戏的地址上下访问丝毫断不下来..
GameRpcs里只有一个 另外一个是他virtualalloc了一片内存
苏苏苏苏苏苏 2019-2-11 02:32
13
0
需要注意的是rpcs里就一个!第二个动态CRC不要再rpcs里找第,找第二个的话 你需要在 virtualalloc 挂个钩子 接获他 virtualalloc返回的地址 然后 剩下的就好办了 看你了~
最后于 2019-2-11 02:53 被苏苏苏苏苏苏编辑 ,原因:
- 安 2019-2-11 02:52
14
0
加我的是你吗 大佬
killpy 2 2019-2-11 08:49
15
0
建议出个视频教程  这文章 看的不清楚
Ai专户 2019-2-11 09:22
16
0
分享下
DWwinter 2019-2-11 09:48
17
0
谢谢分享
我是虫子 2019-2-11 10:29
18
0
苏苏苏苏苏苏 需要注意的是rpcs里就一个!第二个动态CRC不要再rpcs里找第,找第二个的话 你需要在 virtualalloc 挂个钩子 接获他 vi ...
可以私我个联系方式吗 学习一下
冰域 2019-2-11 12:18
19
0
我建议楼主还是删掉部分内容避免被不法分子利用
柒雪天尚 2019-2-11 13:46
20
0
有意思
五天 2019-2-11 16:33
21
0
如梦而醉 2019-2-12 10:07
22
0
看你这个头像就知道是做吃鸡的旋律
八宝咸鱼 2019-2-12 22:45
23
0
给大哥暖一暖
Experson 2019-2-13 16:51
24
0
大佬,收徒不
Ai专户 2019-2-14 00:11
25
0
限制登陆大佬给的附件无效啊
快乐的萌小萌 2019-2-14 14:13
26
0
苏苏苏苏苏苏 需要注意的是rpcs里就一个!第二个动态CRC不要再rpcs里找第,找第二个的话 你需要在 virtualalloc 挂个钩子 接获他 vi ...
可以给联系方式吗,
xinser 2019-2-14 16:36
27
0
我在ReadProcessMemory做钩子,并不能hook到TCJ读取了哪块内存,想问问楼主是在哪个api下的钩子
黑猫网警 2019-2-16 11:57
28
0
xinser 我在ReadProcessMemory做钩子,并不能hook到TCJ读取了哪块内存,想问问楼主是在哪个api下的钩子
楼主hook的memcpy不是很清楚了吗
黑猫网警 2019-2-16 12:00
29
0
xinser 我在ReadProcessMemory做钩子,并不能hook到TCJ读取了哪块内存,想问问楼主是在哪个api下的钩子
游戏用memcpy拷贝自身数据 只是楼主语言表达能力差一点 还是可以看懂的
DepressedMan 2019-2-16 17:44
30
0
检测CALL 是哪里来的?
萌新爱学习 6天前
31
0
下一篇帖子会是 《腾讯为什么叫看雪删我帖子》吗
黑洛 6天前
32
0
你这离被删帖不远了
123_185267 6天前
33
0
哥收徒吗 本人真心想学习 不是为了学会卖钱   如果哥你愿意请加我qq 646556435
123_185267 4天前
34
0
哥你的工具可以发我一套吗
- 安 3天前
35
0
QQ 596920061 求技术大佬加我合作一番
36
0
苏苏苏苏苏苏 需要注意的是rpcs里就一个!第二个动态CRC不要再rpcs里找第,找第二个的话 你需要在 virtualalloc 挂个钩子 接获他 vi ...
老哥  给个联系方式  交流一下
37
0
苏苏苏苏苏苏 需要注意的是rpcs里就一个!第二个动态CRC不要再rpcs里找第,找第二个的话 你需要在 virtualalloc 挂个钩子 接获他 vi ...
大佬加一下我好友 可以吗? Q:26997374  非常感谢你
小光前辈 22小时前
38
0
我已经找到走路、释放技能的检测call了,具体要怎么过?能指导一下吗?Q:185517001
Break_554599 21小时前
39
0
大佬能指导下? 有偿!Q17435535
游客
登录 | 注册 方可回帖
返回