暴雪和黑客的战争二:暴雪的第一击

最新推荐文章于 2024-04-30 17:51:04 发布
最新推荐文章于 2024-04-30 17:51:04 发布
阅读量515 收藏 1
点赞数
文章标签: patch jsp 服务器 游戏 网络 c

暴雪在WOW开发的后期,终于能够腾出人手来升级持续了2年之久的D2X 1.09d。由于1.09d时期hacks泛滥,暴雪觉得有必要打击一下这种嚣张的气焰,于是加入了hacks检测机制,这就是在1.10时期经常提起的packet 64/65检测。

何谓packet?packet即网络数据包,D2中服务器端和客户端之间的交互是通过互相发送packet进行的。D2中的packet又分为out-of-game(进入游戏前)packet和in-game(游戏内)packet两种,这里提到的都是in-game packet。in-game packet的第一个字节为packet ID,指示该packet的含义,接着的是相应的(可变长)参数。比如ID 01代表walk命令,长度为5字节,ID后面跟两个16位参数,指示walk的目的坐标,因此它的格式为:01 [WORD x] [WORD y]。需要注意的是D2中不同patch版本的packet ID含义是不一样的,不能通用。1.10中的一个比较完整的in-game packet列表可以在这里找到:http://www.edgeofnowhere.cc/viewtopic.php?t=303771

跟hacks检测有关的是packet 64和65。packet 64长度是9字节,格式为:64 [DWORD address 1] [DWORD address 2],后面的两个DWORD是服务器端想检测的两个内存地址;packet 65长度为1字节(没有参数),检查4个最有可能被patch的地址。packet 64/65的检查结果经过简单的混淆处理(增加sniffer抓包分析的难度)后发送回服务器端,如果被检测地址里的指令或数据被改过,检测结果自然就和原先的不符,因此暴雪就知道你在用hack。这种检测方法就是所谓的memory probe,即内存探测法。那暴雪怎么知道应该检测哪些地址呢?hack的detour patch(旁路点)是固定的,像maphack和d2jsp这种著名的公开发行的hack,暴雪当然会拿来研究因此也会知道它们patch了哪些地方。至于那些自己开发自娱自乐的,暴雪是没法知道的,因此相对安全点儿。但是如果你的patch点正好和maphack、d2jsp这些相同,那还是有可能不幸中标。

以下为packet 64检测中的相关代码片断,其中eax和ecx分别为两个待检测的内存地址,检测结果分别存入局部变量var_result1和var_result2中随后发送回服务器端:

.text:XXXXF362 $CHECK_RESULT1: ; CODE XREF: CheckDetectionResult+87j
.text:XXXXF362 cmp eax, esi ; not zero
.text:XXXXF364 jz short $CLEAR_RESULT1 ; Jump if Zero (ZF=1)
.text:XXXXF366 mov [ebp+arg1], esi
.text:XXXXF369 mov eax, [eax]
.text:XXXXF36B mov [ebp+var_result1], eax
.text:XXXXF36E mov [ebp+arg1], -1
.text:XXXXF375 jmp short $CHECK_RESULT2 ; Jump

.text:XXXXF39B $CHECK_RESULT2: ; CODE XREF: CheckDetectionResult+A5j
.text:XXXXF39B ; CheckDetectionResult+C4j
.text:XXXXF39B cmp ecx, esi ; Compare Two Operands
.text:XXXXF39D jz short $CLEAR_RESULT2 ; Jump if Zero (ZF=1)
.text:XXXXF39F mov [ebp+arg1], 1
.text:XXXXF3A6 mov ecx, [ecx]
.text:XXXXF3A8 mov [ebp+var_result2], ecx
.text:XXXXF3AB mov [ebp+arg1], -1
.text:XXXXF3B2 jmp short $SEND_DETECT_RESULT ; Jump

packet 65的检测代码和packet 64类似,除了它检测的是几个固定地址。

packet 64/65的memory probe机制,结合前一篇介绍过的已有的version-checking.dll和extrawork.dll,就构成了暴雪在Diablo II 1.10 patch中采用的hacks检测机制。

下图显示了d2jsp 1.2.0中使用的部分旁路点(d2jsp 1.2.0用于Diablo II 1.11b,但意思是一样的)。

 

equationdz
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
暴雪黑客战争四:暴雪的杀手锏-The Warden
Sting的专栏 - Under the hood
11-10 6967
本来想写点儿别的东西。但是看来大家还是对外挂比较感兴趣,就接着再写写吧。1.10时期的成功,使得一些黑客不免自我得意,Mousepad甚至扬言,暴雪应该请他来做hacks检测。2005 年8月1号,暴雪正式发布1.11 patch,紧接着在9月13号又更新到1.11b,宣告了1.11时代的到来。从功能上来讲,1.11相对于1.10的改变,远远小于1.10相对于 1.09d的改变。最大
规避网络游戏的外挂检测机制
Fido
02-03 3841
译注:这是一篇发表在rootkit.com上的讨论怎么规避warden检测机制的文章,原文在这里。作者Darawk是D2的黑客。之前,暴雪通过Module32First/Module32Next对D2 1.11中的外挂进行了第一次打击,很多使用外挂的玩家尤其是netters EasyMap的玩家损失惨重。黑客们开始思考Anti-warden的问题,这篇文章就是一些这方面的尝试。后来,在Daraw
脚本升级_魔兽怀旧服脚本数量激增,网易暴雪该升级监测机制了
weixin_42549723的博客
01-11 574
根据不可描述群透露的若干消息,目前怀旧服自动刷副本的脚本PLUS版已经大量进入市场,并取得突破性进展。之前一天玛拉顿脚本每天日产300G左右,一台电脑32开,但是经常出问题需要人工不时干预。但是现在的升级版可以实现日产500G以上,而且不需要人工干预,可以全自动掉线重登,跑本挂机邮寄一气呵成。在新版本刷金利器的助力下,剑师护手的产量激增,导致价格普跌,让之前炒作剑师护手的地精商贩几乎血本无归。笔者...
DNF检测原理分析
热门推荐
u011222539的专栏
09-27 1万+
前言:看了那么多人发一些心得帖子,看着一些人说的东西有的对有的不对,如下纠正,当然在最后做点小guanggao,呵呵 1 CRC  很多人老是把CRC和检测联系到一起,我也不知道这个概念是谁先灌输的, CRC是一套算法, 目的是来检测代码是否被更改过,所以DNF里 的CRC大都用来检测的是HOOK,至于一些数据异常,我拿个例子来说,比如以前的无消耗冷却,改物品代码为3,为什么用之后会小
外挂技术之-检测和反检测
02-11 7084
关于游戏外挂检测和反检测(真正的防封技术)在网上找到篇关于游戏外挂检测和反检测的文章拿来跟断点的朋友分享。详细文章见附件,这里写些简介。    一:内存探测法        服务器发送个Paket检测游戏内存,然后返回服务器。这对游戏公开的挂威胁大。        反侦测基本思想是拦截Peket,返回伪装Peket。    :DLL扫描        游戏反外挂系统(Module32First/
暴雪黑客战争(驱动保护技术)
08-24
哎,这次出大血了,就共享吧 谁叫我没分了呢,悲剧啊
算法学习:暴雪哈希算法
09-20
暴雪公司有个经典的字符串的hash公式,先提一个简单的问题,假如有一个庞大的字符串数组,然后给你一个单独的字符串,让你从这个数组中查找是否有这个字符串并找到它,你会怎么做?有一个方法最简单,老老实实从头查...
bnetdocs-web:BNETDocs,暴雪协议的文档和讨论网站
05-05
BNETDocs是一个暴雪娱乐的Battle.net:trade_mark:和游戏内协议的文档和讨论网站。 BNETDocs:Phoenix是的后继者。 贡献 请阅读文件。 版权免责声明 该项目已根据AGPLv3许可。 可以在找到GNU Affero通用公共许可证...
暴雪:转到暴雪API数据的客户端库
02-13
暴风雪 这是一个Go客户端库,用于收集目录入门首先,下载暴雪库: go get github.com/FuzzyStatic/blizzard/v2 通过为所需的区域和语言环境启动新的Blizzard配置结构来开始使用该库(可以通过的开发人员帐户获取...
暴雪字符串哈希.txt
01-20
/* 函数名:HashString 功能:计算字符串的哈希值 参数:lpszString:字符串的... seed1 = cryptTable[(dwHashType ) + ch] ^ (seed1 + seed2); seed2 = ch + seed1 + seed2 + (seed2 ) + 3; } return seed1; }
抓帧Packet_Sniffer_手册
10-07
很好的Packet_Sniffer 抓帧工具。
ZigBee 3.0 Z-Stack 5.1 抓包工具:Packet Sniffer/Ubiqua
拿破仑940911
03-18 4917
【源码、文档、软件、硬件、技术交流、技术支持,入口见文末】
packet sniffer抓包软件使用体验
Vincent
04-23 1万+
packet sniffer软件对两个BLE设备在空中发送的数据包进行拦截,解码并可视化在主窗口显示的软件。是我们调试的好工具。首先的使用的背景是,利用packet sniffer软件监听特定从机广播前后的时间间隔。 -第一步是下载相应的软件抓包软件下载 -然后是安装这些步骤,这里就不叙述了。 -然后是下载相应的固件到硬件里面,对于cc2540 usbdongle或者CC2540EM+S
暴雪黑客战争一:外挂的幸福时光
Sting的专栏 - Under the hood
11-01 5924
如前一篇文章所说,D2X中hacks的发展大约可以分为三个阶段,即前1.10的发展成熟期,1.10的过渡期以及1.11的衰落期。一直到1.09d(1.10前的最后一个版本)为止,D2X中几乎没有作弊检测机制,这一时期是hacker们最幸福的时期。说没有是因为它没有专门的检测代码,而说几乎没有是因为它有些机制还是可以用来做作弊检测用途的。一处是它的自动升级机制。在战网上玩过的玩家都知道,每次连到战网
linux 磁盘管理
weixin_42795092的博客
04-29 1203
在mm下新建文件,在文件中输入内容,此内容就被写入第一个分区内,同时mm下会生出lost+found目录,当档案系统发生错误时, 将一些遗失的片段放置到这个目录下。把sdb3挂载到mm,创建文件同时写入内容,查看发现只显示f3,之前挂载的sdb1中的f1不见,代表多个分区可以挂载一个挂载点,但只显示最新挂载的分区。特点:针对不同的数据建立不同的分区,同时为不同的分区创建不同的权限。输入swapon /dev/sdb2,并查看虚拟内存组成分区,两块虚拟内存组成,虚拟内存挂载成功。
WinForms 应用程序中使用 SignalR 连接到服务器
一个专注于技术研究创新的程序员
04-29 483
假设您已经在服务器端实现了名为 SignalRHub 的 SignalR Hub,并且该 Hub 包含了一个名为 SendMessage 的方法,用于接收来自客户端的消息,并将其广播给所有连接的客户端。客户端在收到消息时调用名为 ReceiveMessage 的方法来处理。
Grafana 添加一台管理服务器
最新发布
jekc2008的专栏
04-30 475
1、修改prometheus.yml。3、导入node文件。
服务器硬件:裸金属安装 VMware ESXi
山河已无恙
04-27 419
工作中遇到,简单整理博文内容涉及 裸金属安装VMware ESXi 基本步骤理解不足小伙伴帮忙指正不必太纠结于当下,也不必太忧虑未来,当你经历过一些事情的时候,眼前的风景已经和从前不一样了。——村上春树。
【方案解决思路】RPC服务器不可用
weixin_52364868的博客
04-27 618
如果RPC服务未运行或其启动类型未设置为自动,则需要检查远程客户端的注册表中的相关设置。当在SCCM服务器上使用wmic /node:<客户端IP> process list命令时,如果遇到“RPC服务器不可用”的错误,这通常意味着SCCM服务器无法通过RPC协议与远程客户端通信。: 在远程客户端上,检查本地安全策略设置,确保“网络访问:本地帐户的共享和安全模式”设置为“经典 - 本地用户以自己的身份验证”。:确保远程客户端上的WMI服务正在运行,并且具有正确的权限设置。
暴雪 rpg 策划文档
10-22
暴雪RPG策划文档是指为暴雪公司开发的角色扮演游戏(RPG)...总之,暴雪RPG策划文档是一个非常重要的工具,它为游戏开发提供了指导和参考,确保游戏在各个方面能够达到设计师设定的目标,为玩家带来优秀的游戏体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值