防挂算法

[複製鏈接]
udbwfnai 發表於 2010-12-12 12:18:21 | 顯示全部樓層 |閲讀模式
现在大部分的主流外挂,包括按键精灵,自动做一些动作之类的外挂。 都是通过HOOK进游戏窗口,并且用不同的HOOK类型来完成的,比如对于网络,通常是通过HOOK消息,把DLL弄到我们的游戏程式中,然后通过 GetProcAddress得到DLL中他们卑劣的函数的地址和真实的函数地址,然后通writeProcessMemory来把我们的函数地址改成他们他们的API地址。" o" y! e8 i1 p9 t& O& ~

, E/ M5 y$ j3 ]! k那么在我们的游戏执行的时候,收到消息就会先触发他们的钩子,等他们布置好邪恶的陷阱,然后再执行我们的程式。那么,对于这类型的外挂,该怎么防呢?俗话说得好,以彼之道,还制彼身。所谓魔高一尺,道高一丈。所谓邪不胜正。所谓天网恢恢。所谓做贼心虚。
3 y/ x  ]8 f9 U9 g/ v% R, p
- X/ `  I; v  `) [2 J9 f- U恩,WINDOWS的钩子有个特点,就是钩子链,因为对于同一个进程,即使是同一类型的钩子,能同时有多个,也就是说,对于同一个游戏,开两个功能相同的外挂也能够。那么,怎么样来决定钩子的顺序呢?所谓后来者先得,WINDOWS的做法是,最后一个HOOK某个进程的钩子最先执行。并且振奋人心的消息是,在钩子里面能够控制下一个钩子是否执行。, |" }; o5 h9 n! L( G
0 E) v; {0 p4 G) ]7 U+ Z
这个函数是CallNextHookEx,也就是说,假如在某个钩子里面不执行这个函数的话,钩子链就会在这中断,那么我们的思路就很简单了,在游戏运行中,开一个进程,每隔一段时间就hook我们的主程式,然后在钩子里面,不执行CallNextHookEx,这样就能够避免别人的钩子执行。
0 a: }* {7 w) w& q
8 p+ W; Q& a5 x  X& g  A/ K所谓,仅仅发现敌人还不够,还要消灭敌人。不急,我们来看看怎样彻底把敌人打成粉碎性骨折。恩,要消灭敌人就要复杂一点了,要针对不同类型的钩子来采取不同类型的方法了,因为敌人的钩子不管怎么做,无非是出于两种目的,一种是修改数据,另外就是过滤数据。其核心思想就是我们自己的游戏注册两个钩子,一个总是在钩子链的最底层,另外一个总是在钩子链的最上层,一比较两个钩子收到的消息,就知道中间有没有别的钩子了。一但发现有别的钩子,不用想了,肯定是外挂,最少也用了按键精灵,封号,杀档,想怎么干就怎么干。
" ~, M  Y0 P( B. }- f6 X9 d当然,敌人也不是这么脆弱的,据说有人用raw socket来截获任何的网络消息,这个跟钩子无关,这个更底层一些。但是不用怕,俗话说得好,以彼之道,还制彼身。所谓魔高一尺,道高一丈。所谓邪不胜正。) P  T' d- P1 P) p6 a
这里首先要把敌人分类,对于水平最次的敌人,方法也相应要简单得多。最次的敌人一般用的方法是自己写一个wsock32.dll放在和游戏相同的目录下,来替换掉系统的wsock32.dll。对于这种愚蠢的方法,解决的办法有很多,把load time的载入wsock32.dll改成run time的载入,然后指定一下
! r( }* W3 }1 F! m2 [4 a, X$ a路径,就什么问题都没有了。更简单点,运行游戏的时候检查一下当前目录下有没有wsock32.dll,有的话,那就肯定是外挂钩子了。 8 Y' _3 m3 ^2 U' U0 v: c
8 n1 [" i! c( j* N# G
比最等级高一点点的敌人,会喜欢用钩子来直接钩,一般的做法是,先通过GetProcAddress来获取SOCKET API的地址,然后通过WriteProcessMemory的方法来修改入口地址,将其改成jmp 自己的函数地址。这种方法其实很卑劣的,所谓无毒不丈夫,我们能够通过修改通用的GetProcAddress的代码来防止别人拦截SOCKET,这样,直接连防火墙都能够突破了。 3 S# _& Q& ~2 o7 s# R+ n( m8 c/ ?
) @+ e7 \# [2 Z4 E' p& |+ r
这里的技术难点在于,我们不能用类似WriteProcessMemory的方法来写内存因为我们不知道究竟外挂是哪个进程,所以我们需要修改WINDOWS的代码段,这样讲理论上是不可能的,可惜WINDOWS自己给自己留了个后门,在kernel.dll里面,UINT AllocCsToDsAlias(UINT),通过把API的代码段的选择符传给他,能够返回一个能够写的数据段的选择符,然后把新的选择符和API的入口地址
6 z! u" `; E' K+ J0 ]加在一起,就能够得到一个能够写的代码段的指针。
# A) a  q4 c5 o. V) V( k4 H9 u, p8 W. s9 |$ O/ X1 Z: }
国内好多取词软件和全屏翻译软件都是用的这个原理,具体的例子如下:
* B" |: `2 L7 _3 D( B2 n比如GetProcAddress这个API,在kernel.dll里面,我们要做针对他的通用 / B& M6 m3 z; {) j
钩子就应该按照以下的步簇: typedef UINT (WINAPI* FOO)(UINT); 6 r, u' @2 S: C: A$ Y
7 N8 U, n9 ^, F3 [1 W  k
FOO AllocCsToDsAlias; 4 q4 Q+ n$ M  S9 E  J9 \2 a

. y6 e# ~& x, E5 z8 Z7 {8 eHMODULE hKernel = GetModuleHandle("kernel");
, X% _# A8 b& w/ M/ v$ w, C/ X6 v, Q- S+ S
6 M% Q% g& R% e) ^' K* CAllocCsToDsAlias = (FOO)GetProcAddress(hKernel, "AllocCsToDsAlias");
2 u! @. B8 y8 Z
* |1 x- O. H6 E: LFARPROC entry = GetProcAddress(hKernel, "GetProcAddress"); 7 E) p" X! B' ]  O  I
$ q  H1 g8 N7 s
WORD offset = (WORD)(FP_OFF(entry)); 3 }4 A/ }; N% Z- I1 J
. @# c  y* s0 o! \& u5 l
UINT selector = AllocCsToDsAlias(FP_SEG(entry));
' I. ]" k$ I% _8 I' o( d0 C( p8 H. Y0 ~# }8 t2 C/ O
BYTE *addr = (BYTE *)MK_FP(selector, offset);
. u2 k5 A+ Y8 w( V" i然后就能够往addr这个地址写5个BYTE的东西,第一个BYTE是jmp,不同的CPU可能会不同,之后的一个DWORD是您的函数的地址。
5 L2 [+ n" W, q! X
; P+ {- h  I# V6 c4 Z  X$ l这样,能够通过保存两份addr的数据来做到钩子的开关,当钩子打开的时候,任何的etProcAddress的调用都会调到我们的函数,这个时候能够通过检查 假如有人想GetProcAddress wsock32.dll里的东西,我们就干掉他。。# f5 b/ U7 ]! Q6 T$ ^( z& `
8 p* I) U2 W# Y( h' U# {* s& J
同样,假如有人通过开启socket这个API的SOCK_RAW参数来调用RAW SOCKET监视网络,我们也能够通过上面的方法来做到先入为主,看谁在监控我们的网络传输。
5 M3 D/ ~; i; Q5 v# d: C9 l5 ]. U0 x# i
其实查外挂的原理和捉病毒的原理相同,只是现在做外挂的技术还不成熟。当做外挂的技术和防外挂的技术在同一条线上的时候,想从技术上防住外挂是不可能的。
- h% `# h9 k) l5 b
4 G+ E1 h1 r+ l8 W1 X其实是无奈,杀毒软件的做法是出来一种新的病毒,在第一时间内公开其特征码,然后更新任何的客户端,看到这种特征的,就杀。其实查杀外挂也该如此,其实CS的Cheating-Death就是这个原理,不管出了什么新的外挂,CD总是在第一时间内更新,然后客户端也就傻傻的只要一看到有这个特征的东西就把他干掉。其实仔细想想,这是个很好的主意,从外挂研发商的动机来分析。他们之所以要研发外挂,估计炫耀技术是一方面,更重要的还是想赚 钱,或用来挂机之类的,既然要赚钱,或挂机,就必然会被其他玩家发 现或举报,这个时候应该做的就是尽快的下载一份外挂,或根据其行为 ' D6 c: c, T6 V5 I
研究其特征,并在防外挂的特征码上记下一笔,其实不用太复杂,最简单的做法就是记住其外挂窗口的名称,然后只要看到这个外挂窗口,做些处理就好了。
; j" t' i) T! x3 j0 `: q
# O1 H5 b% f5 X# E$ z/ b那么这样一来,关键的技术就落在怎样设计查外挂这个结构上了,首先客户端需要的是个查外挂引擎,和一个外挂特征库,根据引擎和特征库生成一个固定的版本号,然后每次登陆的时候就用这个版本号,跟服务器上的版本号对比,假如不相同的话,则从服务器自动下载最新的查外挂引擎和外挂特
5 N: {: t0 I' l% A4 i5 e$ ?: K( A征库。
3 ^# `9 r) N" _1 l0 [% |- w& D4 F1 p* s; A3 x8 V. n3 T1 O& D* J
这样虽然不能将外挂赶尽杀绝,却能比较大的限度上围剿使用外挂的风气,相信使用外挂的玩家也只是想更好的玩游戏,只但是动的念头有些歪了,但其出发点仍是好的,只要在他使用外挂的时候多些阻拦或诱导他不使用外挂,这样效果就会好很多。设想一下,谁愿意每天等一个外挂的更新,而不 6 i! P  ^% R3 E$ X0 l) B; g
去玩他很想玩的游戏呢。这样一来,制作外挂的人也会逐渐减少,从而进入一个良性循环。 ; [) @" T/ ]0 i3 H: u5 X2 U

3 A2 t2 r% l; _* [4 P3 s7 {" ~' L" T就好象如今写病毒,并不如当年那么流行了。。-。-
4050917 發表於 2010-12-21 19:31:03 | 顯示全部樓層
NB   狠人!!
回覆

使用道具 舉報

13100800456 發表於 2011-3-2 12:59:06 | 顯示全部樓層
非常给力!!非常给力!!非常给力!!
回覆

使用道具 舉報

您需要登錄後才可以回帖 登錄 | 立即注册

本版積分規則

关注公众号

相关侵权、举报、投诉及建议等,请发 E-mail:admin@discuz.vip

Powered by Discuz! X5.0 © 2001-2026 Discuz! Team.

在本版發帖QQ客服返回頂部