某PC游戏残血ACE反作弊ring3下的绕过分析

于 2025-02-21 18:22:02 发布
阅读量761 收藏 8
点赞数 7
分类专栏: 游戏破解 文章标签: 游戏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2503_90751789/article/details/145783660
版权

前言

研究仅供学习交流目的,请勿用于任何违法用途

前几个月就听说了mw在新版本上实装了ACE反作弊,上个月有空的时候去研究了一下,发现绕过方式出奇的简单,最近有空就分享一下分析过程吧

分析过程

尝试

正常启动游戏,又是那个熟悉的蓝色UI

刚开始先是尝试了很多ring3下常用的绕过方法,如删除驱动文件,关闭驱动句柄等等
但都会触发反作弊的奇奇怪怪的检测,然后触发异常,最后没办法也就只能去具体分析了

分析

对比更新前的目录,发现在更新之后多了一个minigameappbase.dll,IDA启动看两眼
看一眼调试信息就知道这个就是加载ACE的模块了,不过很明显有加壳什么的,也没有进一步探究了(太菜了)

转而去分析加载这个模块的minigameapp.exe,很明显他也加壳了,难道接下来只能硬刚ACE了吗


nonono! 我们还可以去分析一下它在实装ACE前是什么样的
这不看不知道,一看吓一跳啊,原来这玩意就仅仅只是调用了libiworld.dll中的WinMainEntry导出函数而已...
顺便去瞟了一眼libiworld.dll,也没有发现什么可疑的东西


结果看起来已经很明显了,那就直接把原来的minigameapp.exe给替换过来,这样不就既可以正常加载游戏,又不会加载ACE模块了
nice,理论存在,开始实践!
诶可恶,居然触发了游戏的文件校验自动更新了程序

图片描述

接着就得去分析一下怎么绕过文件校验部分,因为minigameapp.exe是由MicroMiniNew.exe启动的,那么就分析一下看看他在启动前后者还做了些什么
跟了一下ReadFile的交叉引用,没有发现跟文件校验有关的代码,猜测是不是有调用其他的dll
于是看了一下LoadLibraryA的交叉引用,发现了一个有趣的东西,start.mnw是个什么东西?,很可疑,拉IDA里分析一下


搜一下关键字符串,果然发现有东西,猜测一下文件的md5就是存在md5filesdata.dat里用作校验了


看了一下根目录,有两个相关的文件,干脆两个一起改了吧


010Editor简单替换一下


现在重新启动游戏,右下角已经不会出现ACE加载的提示了,CE测试了一下内存读写,下断调试都是没有问题的了,成功绕过!

总结

一次有趣的研究,对于游戏这个ACE加载位置的设计有点难以置信,过于好绕过了,而且后面也没有心跳检测什么的,不加载ACE也不会导致游戏掉线,感觉...就像...把vmp当upx加一样,也希望相关游戏厂商能尽快修复该问题吧

C++反作弊对抗实战 (序言篇)
Koma的主页
03-02 4761
ring3下面开发作弊器与反作弊,这两者之间的对抗,就好比老师在课堂上面讲课,而底下有一群七八岁的“小学生”在课桌底下互掐一样,虽然大家都觉得很“疼”,但彼此都很清楚的明白,当真正碰到那群初高中生或大学生的大神们,我这种“小学生”被攻破和吊打的话,只剩时间问题了......
【APP爬虫-抓包篇】巧妙使用工具与技巧绕过安卓APP抓包防护
吴秋霖的博客
01-05 1万+
最新且最全APP抓包汇总!使用各种工具与技巧绕过APP抓包防护!
简单绕过EAC反作弊检测分析【1】
WorryFree
05-02 1万+
EAC 是一个内核反作弊 “系统”,它可以检测任何东西。 想要欺骗它,你必须先加载一个内核驱动程序,然后才能防止它。
EAC反作弊绕过工具源代码_NP_dbd绕过eac_绕过np_绕过eac_np反作弊_
10-01
反作弊绕过工具.可以绕过np等大部分反作弊工具
VAC-Bypass-Loader:一款独特的反作弊绕过工具
gitblog_00051的博客
04-19 803
VAC-Bypass-Loader:一款独特的反作弊绕过工具 项目地址:https://gitcode.com/gh_mirrors/va/VAC-Bypass-Loader 是一个开源项目,由 Daniel Krupinski 创造,主要用于研究和教育目的。它是一个Valve Anti-Cheat (VAC) 系统的绕过加载器,旨在帮助安全研究人员理解和测试游戏服务器的安全性。 技术分析 VAC...
技术深度剖析:反作弊绕过与 EDR 绕过的比较
最新发布
博客地址 www.sec0nd.top
10-20 1010
在不断发展的数字安全领域,出现了两个突出的挑战,它们对在线系统和用户数据的完整性构成了重大威胁:反作弊绕过和 EDR 绕过。这两个概念分别围绕绕过旨在确保在线游戏领域公平竞争和保护计算机系统免受恶意软件侵害的保护措施。这篇文章将深入探讨反作弊绕过和 EDR 绕过的目标,探索这些活动背后的动机及其影响,并区分合法的安全研究和非法活动。
记录一次鹅厂反作弊绕过之利用回调完成异常派遣的提前接收
qq_41709308的博客
05-14 1755
鹅厂反作弊绕过之利用InstrumentationCallback回调完成异常派遣的提前接收
不同游戏的不同反作弊引擎
做一个快乐学习者
05-06 4572
The aim of this topic is to create a complete index of all known (and less known) anti-cheats and the games they are used for.Input is appreciated Advanced ProtectoR (Discontinued) BattlEye Blac...
一站式讲解Wireshark网络抓包分析的若干场景、过滤条件及分析方法
dvlinker的技术专栏
10-17 4万+
本文详细讲解常用的抓包工具、抓包分析的网络场景、分析抓包时的多种过滤条件以及如何结合常用的协议去分析排查问题,给大家提供一个借鉴或参考。
重看Spring聚焦Environment分析
张彦峰的博客
04-24 7万+
本文深入分析了Spring框架中Environment模块的设计与实现,详细讲解了Profiles、Properties的使用,及其与Spring IOC容器的关系。通过对源码的剖析,读者可以理解如何利用Environment来管理不同的应用环境配置,如开发、测试、生产环境等。此外,文章还探讨了PropertyResolver接口和ConfigurableEnvironment接口的功能及其在实际开发中的应用,帮助开发者在多环境配置中灵活应对,提高项目的可维护性与扩展性。
Android native反调试方式及使用IDA绕过反调试
jltxgcy的专栏
01-28 1万+
0x00     为了避免我们的so文件被动态分析,我们通常在so中加入一些反调试代码,常见的Android native反调试方法有以下几种。     1、直接调用ptrace(PTRACE_TRACEME, 0, 0, 0),参考Android Native反调试。     2、根据上面说的/proc/$pid/status中TracerPid行显示调试程序的pid的原理, 可以写一个方法检查
针对内存修改的反作弊方法
DearXuan的博客
07-25 2976
内存修改作弊是指用户修改内存数据来达到修改分数,金币,生命的作弊手段,这种作弊方法最常见,门槛也最低,只需要简单地掌握CE类修改器的使用方法即可。 源程序 #include <iostream> #include <windows.h> #include <conio.h> int score = 0; int main(){ int a,b,c,s; while (true){ a = rand() % 10; b.
丧尸围城3天启版msvcp110.dll丢失怎么办?丧尸围城3天启版msvcp110.dll丢失全方位解决指南
onecdll的博客
06-12 369
虽然风险较高,但你也可以从可信赖的源手动下载 msvcp110.dll󠁪 文件,并将其放入系统目录。之后,可能需要通过命令提示符运行 regsvr32 msvcp110.dll󠁪 来注册这个DLL文件。此时,dll修复就会自动下载并安装dll文件。首先,我们需要下载dll修复工具。下载安装完成后,打开工具点击一键扫描,或根据实际情况点击DLL修复。接下来,你需要让dll修复工具扫描你的系统错误。这个工具会自动检测你系统中所有的错误,并列出来。dll修复工具_免费dll修复工具,全方位扫描一键自动修复。
腾讯云国际:游戏安全(Anti-Cheat Expert,ACE)简介
TG_kinglki的博客
08-18 1万+
游戏安全 ACE 对变速器的各种实现原理进行深入分析,对变速器的变速行为进行全面监控,针对修改器的常用手段进行针对性对抗,能够在修改器或变速器发挥作用时,迅速发现,并将游戏退出,以保护游戏ACE 为近百款手游服务,数亿用户量持续稳定运行,尤其在王者荣耀、酷跑等千万 DAU 级别的游戏上表现稳定。覆盖30+种虚拟机,全面覆盖 VirtualAPP、平行空间、分身大师等30多种虚拟机及其变种,建立起独有的3层立体化策略模型,从多维度识别虚拟机,动态更新策略模型,严防各种误判,具备强大的防变种能力。
探秘BlindEye:绕过BattlEye内核模块的黑科技之旅
gitblog_00022的博客
06-13 796
探秘BlindEye:绕过BattlEye内核模块的黑科技之旅 项目地址:https://gitcode.com/gh_mirrors/bl/BlindEye 在电竞与游戏安全的江湖中,BattlEye作为一款强大的反作弊软件,一直是保障公平竞技环境的守护者。然而,在追求技术极限和研究安全防护机制的领域里,总有探索者试图突破界限,这就是我们今天要介绍的开源项目——BlindEye:一款巧妙绕过B...
浅谈非内存对抗类和AI自瞄类FPS作弊程序原理及常用反反作弊措施与反作弊应对手段(中)
qq_50803262的博客
03-13 8863
深入分析AI自瞄外挂的实现原理,及KVM、DMA外挂的原理。
游戏外挂防封心得防检测防封技术
热门推荐
jianzhandaren的博客
11-10 9万+
目录 第一种封号 第二种封号 第三种封号 游戏的行为检测与加入随机数防封。 一、鼠标移动。 二、键盘操作。 三、时间。 四。利用单窗口单IP技术。实现防封 游戏工作室这个行业,大家进来之前相信也很清楚了。这行吧,目前在我国不受法律保护,但是也不受法律排斥,可以说工作室这行很乱很乱,导致现在很多小白在这行转悠,这行虽然赚钱多点,但是想入行确实很难。所...
主流安卓APP反作弊及反反作弊的一些思路和经验汇总
键盘的起始页
01-28 5479
作弊检测 基于设备 1.检测是否存在危险APP包名 主要检测hook框架,模拟点击工具,magisk,supersu等root工具 2.检测是否存在危险Class 主要检测hook框架的安卓框架层包 3.检测是否存在root权限 一般通过是否存在bin、sbin目录里的su文件,kingroot权限管理apk 4.检测是否有调试状态 default.prop文件的ro.secure=1、ro.debuggable=1状态,/proc/self/status文件的TracerPid值 5.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值