记录一次绕过文件防多开的思路

最新推荐文章于 2023-04-13 16:01:26 发布
最新推荐文章于 2023-04-13 16:01:26 发布
阅读量377 收藏
点赞数
分类专栏: WINDBG 杂记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MZLI_L/article/details/107456634
版权
本文记录了如何绕过一个具有防多开限制的程序。通过分析程序行为,发现其创建特殊文件并占用,尝试使用条件断点进行调试。在遇到断点频繁触发的问题后,通过构建内存中的数据并比较,成功过滤无关断点,最终通过修改内存中文件名的方式实现了绕过防多开功能。
摘要由CSDN通过智能技术生成

文章目录


此文章仅记录当时思路,不具备通用性。且本人所学甚浅,必有诸多不足,如若有误或更好的思路,希望能不吝指教。

目标需求

目标程序有防多开限制,需求绕过防多开。

初步分析

通过行为监控、分析,发现目标程序有可疑文件(某特殊文件后缀)的创建和锁文件(LockFile)的操作。
进一步分析,发现与锁文件的操作无关。
关注并分析创建的可疑文件:发现该文件在程序启动时被创建并占用,程序退出时删除,且处于公共目录下(C:\user\pubulic\…)

所遇问题

尝试通过相关API断点下断分析,但此程序创建文件诸多,断点触发频繁,需进一步过滤,遂尝试条件断点。

分析特征

在触发文件API(CreateFile)断点时,寄存器【RCX】存储的是文件的完整路径,可以通过参数比较来过滤无用的断点触发。

初步解决方案

构建条件断点:bp kernelbase!CreateFileW "j(poi(@rcx)='【文件路径】') '命令1' ;‘命令2’"
尝试执行命令,无法触发,遂分析:
1.CreateFileW为宽字符版,自己输入的文件路径不知被解析为什么样式
2.poi()解析ÿ

最低0.47元/天 解锁文章
Plastilina
关注
专栏目录
程序防多开之一:进程数量检测
RitMan的博客
12-11 1225
通过对系统内核函数的调用,实现对程序多开进行限制与检测.
第七届“蓝帽杯”初赛取证题目超详细解析,检材可以看我的下载资源,有百度网盘的分享链接
最新发布
ntrybw的博客
08-26 2594
刚刚打完比赛,准备晚上写一下wp,刚好整理一下题目,ctf的题目一般都有,取证不一定,这里还是要感谢蓝猫,大规模取证题目,让警校大大获利,更加方便晋级。
[防多开] 内存映射文件
LYSM
09-27 322
原理 参考我的这篇文章 内存文件映射是比较正规的进程间互相通信的方式。其实从原理上讲,只要能实现进程间通信,就能实现防多开。 验证方法
游戏多开检测的几种实现方法及破解方法参考
陈子青的博客
07-24 6807
游戏多开检测只是对游戏的进程数进行限制,分为事前检测、事中检测、和事后检测。事中检测和事后检测往往没有提示,是游戏公司封号、处罚的手段,事前检测即禁止游戏多开,本文介绍常见的几种禁止游戏多开的方法,并给出破解方法,仅供参考。............
VM跳过虚拟检测(游戏多开,虚拟机录制视频)
热门推荐
loveqqcc的博客
03-14 3万+
方法一: 防检测代码 3条:(该方法能用,尽力不要用下面几种方法!) 同样添加至 “.vmx配置文件” 末尾! ! ! monitor_control.virtual_rdtsc = “false” monitor_control.restrict_backdoor = “true” monitor_control.disable_directexec = “true” 方法二: 防检测代码 7...
一个程序员的成长之路
weixin_35713159的博客
04-13 1414
equals一般比较对象内容是否相等,而==比较两者的栈中保存的对象堆地址值是否相等,即是否指向同一个对象,equals在object中就存在,如不重写的话两者没有区别,重写时一般使用hashcode方法结合,比较相等首先判断hashcode是否相等,相等再进行真实值的比较,大大降低比较时间,最多两次即可判断。原因:在一个范围中的浮点数个数不是有限的,存在精度问题,如果要进行比较,使用BigDecimal并使用BigDecimal提供的对象方法进行计算,构造时使用String作为入参防止丢失精度。
DroidPlugin开源插件研究资料整理
huangming
07-04 1920
前段时间,DroidPlugin和VirtualApp开源插件很火,因为他们实现了应用免安装、应用多开的功能。满足了有些公司“奇异”的需求。当然我们公司就是其中一个,所以不得不去研究它们。这两个插件都是利用反射和Hook动态代理去Hook掉系统的一些类(如AMS、PMS)换成自己的代理类从而实现拦截系统功能执行自己的功能。
MIT6.S081
caowenbo2311694605的博客
11-21 2262
MIT6.S081笔记——写写OS 深陷脊背的腐烂禁 人生浪费指南三流写手/吃肉肉 2 人赞同了该文章 MIT 6.S081 lab tool 环境要求主要是3个项目: 一个是riscv64的toolchain,另一个就是虚拟机qemu,剩下的就是一个源码库,装好这三个就可以开始写代码了 关于环境一些坑 首先就是toolchain,这个项目仅仅源代码就有3个多G,按照国内访问git的速度几乎不可能下载完,(这个项目是一个套娃项目,其中里面的子module对应着github上的别的项目,
据说国外能够绕过NP的工具
02-18
据说国外可以绕过NP的工具,可以下来看看
dnf游戏多开虚拟机,过检测过制裁,dnf同步
qq_45375751的博客
07-11 6120
dnf虚拟机交流群372834206(群内安装虚拟机)
采用关闭句柄的方式去掉程序多开的限制
yu_xiyan的专栏
01-23 7692
下面的文字,主要是为了分享给和我一样的菜鸟,而且这些东西都是很多大牛的文章中的一个非常小的部分。您们直接飘过吧。     一些程序限制多开的方法很多,比如采用窗口名,进程名,内核对象等等,论坛中也有很多关于这方面的介绍,但是好像没有一个具体的例子,估计是觉得太简单了吧。我研究的这程序的限制多开的方法采用的是“内核对象信号量”。     要破解其多开也有很多方法:     1、直接
防止程序多开的方法
RobertSoft 的专栏
07-31 7480
 最近,一个公司项目要求防止程序多开,采用了几种方法,效果还行。一、使用Mutex      1、原理       创建一个互斥体,并检查它是否已经有拥有者,如果有,表明互斥体已经建立(程序已经启动),否则表明程序未启动。       2、实现       (1)首先创建一个互斥体,CreateMutex函数,第一个参数可以设置为NULL,第二个参数必须设置为false,第三个参数表示互斥体的名称,这个名称最好有一些特殊标识以防止与其他应用程序冲突,比如程序名+时间。       (2)使用GetLastE
[防多开] CreateFile
LYSM
09-26 218
原理 程序开始运行时先用(可能是 TLS 函数中)CreateFile 在某个位置创建一个文件 "lockfile" ,并锁定这个文件防止它被恶意删除。 当第二个实例启动时因为 "lockfile" 已经存在所以失败,从而判断出有多开行为,程序退出。 当第一个实例退出时,解除锁定 "lockfile" 并删除 "lockfile"。 代码 ...
文件夹锁,防止一个应用多开的情况下访问共同文件
ak47000gb的博客
04-20 1232
一个应用开两次,第二个将被阻塞直到第一个退出#include <mutex> #include <thread> #include <string> #include <map> #include <boost\filesystem.hpp> #include <boost\interprocess\sync\file_lock.h...
PC电脑端微信无需借助任何第三方软件实现多开,通过BAT命令实现
u013680508的专栏
09-29 1万+
TASKKILL /F /IM wechat.exe start "" "C:\Program Files (x86)\Tencent\WeChat\WeChat.exe" start "" "C:\Program Files (x86)\Tencent\WeChat\WeChat.exe" 使用方法:复制上面的代码,粘贴到记事本中,然后把扩展名改为.bat...
绕过文件系统过滤驱动和钩子
trents的专栏
02-28 3652
1对付文件系统过滤驱动 文件系统过滤驱动Attach在正常的文件系统之上,监视和过滤我们的文件访问。文件系统驱动栈就是由这一连串的Attach起来的过滤驱动组成。我们可以用IoGetRelatedDeviceObject这个函数来获得一个FileObject对应的最底层的那个功能驱动对象(FDO)。但是这样虽然绕过了那些过滤驱动,却同时也绕过了正常的FSD如Ntfs/Fastfat,因为正常
游戏防多开技术揭秘:窗口枚举与属性检测
本文档主要探讨了如何通过编程技术防止游戏多开,特别是在...需要注意的是,这类技术并非绝对可靠,高明的多开者可能会通过绕过这些检查手段来实现多开,但基本的检测机制为防止一般情况下的多开提供了有效的防护。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值