前言
按键精灵自2014年后就没有再进行较大的更新了,而近几年脚本程序的滥用也导致按键精灵被列入了各个游戏保护商的猎杀名单。树大招风,因其易于上手的特性,使用按键精灵的入门作者比易语言更多,这也是其被检测的原因之一。
但是有检测就有过检测,按键精灵属于用户层的程序拥有较低的权限。如果要通过自身进行防检测你需要改变程序的名称,文件信息,内部文件名以及最重要的Runner.exe脚本执行器的相关信息。
但是如果游戏有单独的保护盾,这样一来。过检测难度再度升级,驱动层和用户层就好比一个是“爹”一个是“儿子”。驱动层检测用户层就是爹打儿子。一言难尽
今天麋鹿就在这篇博客给大家带来一个好玩的东西——驱动级,进程隐藏 按键精灵过检!
一、Windows系统架构
-
硬件抽象层(HAL):
HAL层是Windows操作系统的最底层,它负责与硬件进行交互并提供对硬件的抽象。这使得操作系统可以独立于特定的硬件平台运行,从而实现了跨多种硬件架构的兼容性。
HAL层包括对处理器、内存、外围设备等硬件的访问和控制,为上层的内核提供了统一的硬件接口。 -
内核模式:
内核是Windows操作系统的核心部分,包括调度程序、内存管理、进程管理、设备驱动程序等。内核在操作系统启动时加载到内存,并负责管理系统资源、执行系统调用和处理硬件中断。
Windows内核包括四个主要组件:执行管理、存储管理、进程和线程管理以及安全管理。这些组件共同工作以确保系统的稳定性、安全性和高效性。 -
用户模式:
用户模式是操作系统的最顶层,提供给用户和应用程序访问系统资源的接口。用户模式包括各种系统服务、用户界面和应用程序,如图形用户界面(GUI)、文件管理器、浏览器等。
用户模式和内核模式之间通过系统调用接口进行通信,用户模式的程序可以请求内核模式执行特权操作,如访问硬件、创建进程等。
本篇博主介绍的工具就是工作在内核模式下的,具有比较高的权限。
二、工具简介
1.运行原理
工具分为R3层应用程序端和驱动层的驱动端,他们之间相互通信组成了一套具有较高权限的内核工具。驱动分为了win10和win7两款,程序会自动根据当前系统进行对应驱动的加载。
在内核层中,工具会对用户层传来的被保护程序进行保护和隐藏,对限制程序进行相关功能的禁止获取。
由于工具是驱动级,所以可能照成系统蓝屏【这里麋鹿提醒一句,使用时需要关闭杀毒,因为再一次测试中工具与火绒的驱动冲突了就造成蓝屏。】
蓝屏是系统的自我保护行为,不必惊慌。蓝屏的系统可以选择更换系统或者降低内核版本。
内核查看方法为:运行cmd,第一行就是内核版本。
2.UI界面
因为工具具有防截屏功能,因此如果远程过程中需要显示工具的窗口需进行如下操作:
- 将句柄标【十字准星】拖动到本工具的窗口标题,获取本程序的窗口信息。
- 点击Uncapture【防止截屏功能】,然后再点击旁边的Remove【取消防止截屏】
- 这个时候工具窗口就能被捕获到。
3.功能介绍
- loadSys:工具加载/卸载驱动
- WinHide:开始/停止运行程序保护
- 输入框:被限制程序的文件路径
- InterceptM+输入框:限制/解除限制模块【多个模块用|隔开】
- Uncapture:防止进程窗口被捕获截屏,录屏【64位程序可用】
- Remove:移除防截屏
- AddProt:添加保护进程,需要先用句柄标抓取目标程序
- DelProt:移除保护进程
- AddPid:通过PID添加保护进程。
- FlashProt:刷新保护进程列表
- 小精灵增强:??
总结-获取工具
工具属于内核级工具,可能会引起系统不稳定或者蓝屏。介意勿用。目前工具仅仅做测试使用,只能在Windows系统中使用,推荐win7和win10【内核小于19052】。
另外不得将此工具用于非法用途,若产生的后果与本人无关。
工具获取和实战演示:戳我
如果觉得对你有帮助不妨点个赞支持一下吧!