本片博文准备介绍最新的驱动级防多开(20161012)是怎么一会事!
游戏加载后发现一个名为MMProtect的驱动被加载了
搜索后发现原来号称是专业反外挂的现成方案:http://mm-protect.com/
还以为是515SA他们的开发自己写的呢,白激动一场....
言归正传,这货到底是如何防止多开的呢? 为了保护该项目的利益,以下内容不会对绕过方法进行详细描述。
分析如下:
驱动加载后,通过ObRegisterCallbacks 注册了一个objecthook,防止其他进程打开515sa.exe
所以ring3下的Openprocess是无法打开515sa.exe的进程得到句柄的。(但是我们也同样可以用ring0来对抗)
驱动会获取KeQueryPerformanceCounter 和 KeUpdateSystemTime 函数的地址,通过一些计算来防止游戏使用加速器。