首页
论坛
课程
招聘
[原创]关于绕过NGS(nexon game security)
2020-8-9 20:25 14848

[原创]关于绕过NGS(nexon game security)

2020-8-9 20:25
14848

NGS采用双进程检测,
会检测游戏代码段是否被hook,
代码段内存属性是否被修改
游戏DR寄存器是否被修改(存疑)
枚举遍历所有进程,查看是否有可疑进程(CE,OD)
检查可疑文件,有上传行为.

 

关于调试
我的方法是写个驱动不给NGS打开游戏句柄权限.
五天前还能调试,今天不行了,游戏没更新检测更新了,卧槽...
又测试了一阵,发现可以先给打开游戏进程句柄权限,等调试时再关闭NGS权限,可行.

 

(估计过几天这方法又得和谐掉,方法多的很,慢慢绕就是了)
附件是外网绕过NGS方法.hook NGS openProcess 跨进程读写内存函数(我觉得不太保险,容易被检测)


【公告】看雪团队招聘安全工程师,将兴趣和工作融合在一起!看雪20年安全圈的口碑,助你快速成长!

上传的附件:
收藏
点赞2
打赏
分享
最新回复 (26)
雪    币: 20
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
妖妖灵丶o 活跃值 2020-8-9 21:06
2
0
这周的更新好像不能远跳了?
雪    币: 3003
活跃值: 活跃值 (844)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
qj111111 活跃值 2020-8-9 21:12
3
0
妖妖灵丶o 这周的更新好像不能远跳了?
我做的游戏暂时没这块检测,可能游戏不同.堆栈检测可以构建个跳板,先近跳再远跳.
雪    币: 198
活跃值: 活跃值 (1243)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yy虫子yy 活跃值 2020-8-9 23:32
4
0
不管它干什么,见招拆招,无招胜有招
雪    币: 807
活跃值: 活跃值 (1129)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
凌哥 活跃值 2020-8-15 14:31
5
0
hxd,怎么过的CE调试检测呢
雪    币: 3003
活跃值: 活跃值 (844)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
qj111111 活跃值 2020-8-15 15:04
6
0
凌哥 hxd,怎么过的CE调试检测呢

枚举遍历所有进程,查看是否有可疑进程(CE,OD)
解决方法:不给他打开CE权限

具体我用的 ObRegisterCallbacks

https://bbs.pediy.com/thread-168023.htm

最后于 2020-8-15 15:08 被qj111111编辑 ,原因:
雪    币:
活跃值: 活跃值 (64)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
小蚂蚁要丈量大世界 活跃值 2020-8-21 14:57
7
0
哈哈 我也在研究呢。
雪    币: 198
活跃值: 活跃值 (1243)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yy虫子yy 活跃值 2020-8-23 04:51
8
0
NGS自建了一套API调用,还有x86到x64的转换
Ring3层Hook不到了
雪    币: 1055
活跃值: 活跃值 (606)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
鸭子咯咯哒 活跃值 2020-8-25 11:18
9
0
怎么绕过  检测游戏代码段是否被hook
雪    币: 3003
活跃值: 活跃值 (844)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
qj111111 活跃值 2020-8-25 16:46
10
0
鸭子咯咯哒 怎么绕过 检测游戏代码段是否被hook[em_2]
去NGS进程的系统DLL里做手脚,一般系统DLL没CRC检测,或者R0驱动干
雪    币: 3003
活跃值: 活跃值 (844)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
qj111111 活跃值 2020-8-25 16:48
11
0
鸭子咯咯哒 怎么绕过 检测游戏代码段是否被hook[em_2]
代码都发出来了,难道还要手把手教更新么
雪    币: 1055
活跃值: 活跃值 (606)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
鸭子咯咯哒 活跃值 2020-8-27 13:23
12
0
qj111111 代码都发出来了,难道还要手把手教更新么
为啥编译失败:    https://ftp.bmp.ovh/imgs/2020/08/17522db3fcaf3827.png
雪    币: 88
活跃值: 活跃值 (63)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
认真的Cxl 活跃值 2020-8-27 14:04
13
0
鸭子咯咯哒 为啥编译失败: https://ftp.bmp.ovh/imgs/2020/08/17522db3fcaf3827.png
你缺少引用文件,去下载微软的detoursHOOK库,编译64位然后引用就好了。
雪    币: 1055
活跃值: 活跃值 (606)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
鸭子咯咯哒 活跃值 2020-9-5 14:03
14
0
编译出来的dll要咋用鸭
雪    币: 74
活跃值: 活跃值 (469)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
killpy 活跃值 2 2020-9-5 17:24
15
0
mark
雪    币: 86
活跃值: 活跃值 (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
estelle 活跃值 2020-9-7 21:15
16
0
用驱动对付ngs吗 好像2年前有一份来源的源码 到现在还能使用 就不发了
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
ParkourParkC 活跃值 2020-9-9 19:34
17
0
estelle 用驱动对付ngs吗 好像2年前有一份来源的源码 到现在还能使用 就不发了
如果可以的话,大佬能把这套驱动的源码发来瞅瞅么?新手,希望能多学习一下,谢谢!
雪    币: 1211
活跃值: 活跃值 (453)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
program杨 活跃值 2020-10-4 02:47
18
0

顶呱呱

最后于 2020-10-6 15:23 被program杨编辑 ,原因:
雪    币: 1211
活跃值: 活跃值 (453)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
program杨 活跃值 2020-10-6 15:23
19
0
yy虫子yy NGS自建了一套API调用,还有x86到x64的转换 Ring3层Hook不到了
看有些人把NGS自建的syscall函数地址硬编码了 也不晓得是咋找的
雪    币: 3003
活跃值: 活跃值 (844)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
qj111111 活跃值 2021-11-16 18:25
20
0
program杨 顶呱呱
NGS不难攻破,你等游戏进入完成.他会和NGS通信完成,大概时机是可以正常打怪了,这是用任何手段不给NGS打开游戏进程权限,隐藏进程/降权.etc. NGS这时读取不了游戏进程就可以随便操了,什么下断,调试随便搞.当然游戏进程本身的检测要自己处理
雪    币: 5
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_jndyaqqp 活跃值 2021-12-6 19:04
21
0
qj111111 NGS不难攻破,你等游戏进入完成.他会和NGS通信完成,大概时机是可以正常打怪了,这是用任何手段不给NGS打开游戏进程权限,隐藏进程/降权.etc. NGS这时读取不了游戏进程就可以随便操了,什么下断 ...
能不能补发下最新版ngspass,之前的过期了
雪    币: 5
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_jndyaqqp 活跃值 2021-12-6 19:05
22
0
另外这不是易语言的吗?看着好高端,是不是需要下载cs程序,有没有易语言直接调用dll
雪    币: 5
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_jndyaqqp 活跃值 2021-12-6 19:24
23
0
qj111111 NGS不难攻破,你等游戏进入完成.他会和NGS通信完成,大概时机是可以正常打怪了,这是用任何手段不给NGS打开游戏进程权限,隐藏进程/降权.etc. NGS这时读取不了游戏进程就可以随便操了,什么下断 ...
大哥,你qq多少,我加你
雪    币: 10
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
qq10086 活跃值 2021-12-7 11:27
24
0
mb_jndyaqqp 大哥,你qq多少,我加你
你QQ多少
雪    币: 2681
活跃值: 活跃值 (1001)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
木志本柯 活跃值 2021-12-7 12:45
25
0
现在ngs好像不检测 ce f5 6了 我测试的是csol 它检测drx的方法应该是NtGetThreadContext吧 
游客
登录 | 注册 方可回帖
返回