某国内大型网游公司反调试器附加研究

最新推荐文章于 2023-05-05 11:23:32 发布
最新推荐文章于 2023-05-05 11:23:32 发布
阅读量1.4k 收藏 1
点赞数
文章标签: 网游 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nooning/article/details/3885149
版权

搞了一个晚上,天终于亮了,问题也解决了,VMP加检测DEBUG,再加代码DEBUG

看了部分记录就知道了。。。原来很简单。

 

想CE就CE,想OD就OD 爽,累了。。。闪

 

ThreadId:a8d8 ==Starting:
ThreadId:a8d8 ==Loading:
ThreadId:a8d8 ==LoadLibraryExW:'RPCRT4.dll',0x0,0x0,Address 0x76e30000:
ThreadId:a8d8 ==LoadLibraryExW:'rpcrt4.dll',0x0,0x0,Address 0x7dc10000:
ThreadId:a8d8 ==LoadLibraryExW:'C:/WINDOWS/system32/mswsock.dll',0x0,0x0,Address 0x7db70000:
ThreadId:a8d8 ==LoadLibraryExW:'hnetcfg.dll',0x0,0x0,Address 0x69660000:
ThreadId:a8d8 ==LoadLibraryExW:'C:/WINDOWS/System32/wshtcpip.dll',0x0,0x0,Address 0x71a40000:
ThreadId:a8d8 ==LoadLibraryExW:'WS2_32.dll',0x0,0x0,Address 0x71b60000:
ThreadId:a8d8 ==LoadLibraryExW:'kernel32.dll',0x0,0x0,Address 0x7d4f0000:
ThreadId:a8d8 ==ReMapFile://./SICE://./ASDF:
ThreadId:a8d8 ==ReMapFile://./SIWVID:SAME:
ThreadId:a8d8 ==ReMapFile://./NTICE:SAME:
ThreadId:a8d8 ==ReMapFile://./ICEEXT:SAME:
ThreadId:a8d8 ==ReMapFile://./SYSERBOOT:SAME:

nooning
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
od(游戏调试工具)
02-28
主要用于高度程序,进行汇编,是用于制作网络游戏外挂的好工具,不得不学。
49.网游逆向分析与插件开发-游戏调试功能的实现-软件调试器设计的基本原理
最新发布
计算机王的博客
12-23 1232
网络游戏逆向、网络游戏安全、网络游戏攻防、c++
关于滴水的VT调试器
whatday的专栏
04-06 7126
关于滴水的VT调试器 by 海风月影 论坛上今天吵的比较火热,主要是关于滴水的VT调试器,很多人不了解这个东西,我对Intel的VT技术略有了解,所以我来简单的介绍一下。 第一,什么是VT技术 VT是Intel的硬件虚拟化技术,说到VT,就不得不提虚拟机(例如VMWare)。在硬件还没有支持VT前,系统级的虚拟机其实是很难做的,要考虑的 东西非常多(主要是效率问题,因为用软件模拟
某游戏的调试
墨鱼菜鸡
09-09 620
最近比较无聊,有朋友就喊我去玩玩打枪的小游戏,然后由于我怕麻烦所以把游戏安装到虚拟机中了,然后我虚拟机开了双机调试器,其实是由于我比较懒不想关双机调试,导致游戏弹出窗口要求我关闭调试器。 小样,你叫我关就关岂不是很没有面子,然后我做了下面的事情。 首先看是不是检测了SharedUserData->KdDebuggerEnabled 这里手动在...
调试与调试
cyynid的博客
05-05 1021
该函数不会对正常运行的程序产生任何影响,但若运行的是调试器程序,因为该函数隐藏了当前线程,调试器无法再收到该线程的调试事件,最终停止调试。一个进程的所有TEB都以堆栈的方式,存放在从0x7FFDE000开始的线性内存中,每 4KB为一个完整的TEB,不过该内存区域是向下扩展的。方案二:暴力破解,定位该函数,对其二进制代码进行修改,进而跳过该函数的判断,该方法几乎对所有的调试都适用,但是定位程序比较繁琐,因为调试代码位置不固定,而且也不一定会有很明显的逻辑区分,比如程序强制关闭等。
易语言实现OD调试附加的代码
08-26
今天小编就为大家分享一篇关于易语言实现OD调试附加的代码,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
易语言检测调试器源码,易语言程序调试调试
07-22
易语言程序调试调试源码,程序调试调试,错误提示管理_,是否被调试,取进程文件名,CreateToolhelp32Snapshot,Process32First,Process32Next,OpenProcess,Module32First,TerminateProcess,CloseHandle,...
OD调试检测器,可以检测是否有效过调试
02-05
调试检测软件
让OD等调试器无法附加你的程序源码
06-03
资源介绍:。源码就是利用DeDdg函数先一步附加我们的自己进程,让其他调试器无法附加,达到调试。资源作者:。@莫爱。资源界面:。资源下载:。
调试技术
11-04
调试技术总结 ,常用的调试手段,检测方法: 探测Windows调试器、手动检测数据结构、系统痕迹检测...
ViragDevTool:魔兽世界调试器开发人员插件
04-28
ViragDevTool信息 寻找Legion Beta来测试和更新此插件 ViragDevTool是供插件开发人员使用的Lua魔兽世界插件。 功能类似于调试器。 此插件可以帮助新开发人员了解WoW API。 主要思想是在类似表格的UI中检查WoW API或您的插件变量。 使用起来比默认的打印或聊天调试容易得多 如何使用 您可以使用的主要(也是唯一的)函数是ViragDevTool_AddData(data,“ some string name”) : -- - Adds data to ViragDevTool UI list to monitor -- @param data (any type)- is object you would like to track. -- Default behavior is reference and not object copy --
去掉AlipayWallet的ptrace 调试保护,进行lldb调试(学习demo)
03-16
1、文章:https://blog.csdn.net/z929118967/article/details/78233844 2、去掉ptrace的思路: 2.1、 当程序运行后,使用 debugserver *:1234 -a BinaryName 附加进程出现 segmentfault 11 时,一般说明程序内部调用了ptrace 。 2.2、为验证是否调用了ptrace 可以 debugserver -x backboard *:1234 /BinaryPath(这里是完整路径),然后下符号断点 b ptrace,c 之后看ptrace第一行代码的位置,然后 p $lr 找到函数返回地址,再根据 image list -o -f 的ASLR偏移,计算出原始地址。最后在 IDA 中找到调用ptrace的代码,分析如何调用的ptrace。 2.3、开始hook ptrace。
C/C++ 调试与绕过手法
CSDN
09-13 5393
调试技术,恶意代码会用它识别自身是否被调试,或者让调试器失效,给病毒工程师们制造麻烦,拉长提取特征码的时间线,本章将具体总结常见的调试基础的实现原理以及如何过掉这些调试手段,从而让我们能够继续分析恶意代码。
虚幻引擎(UE4) Gameplay Debugger(调试器)
刀客
02-01 4282
Gameplay Debugger(虚幻调试器)对于开发者查看运行时数据非常有用,甚至在利用网络复制的客户端上也是如此。他可以运行在编辑器,模拟器中,并且独立于游戏,所有的数据都显示在游戏窗口上,调试系统提供了一套可以扩展的调试框架。 引擎实现可以显示: Pawn基础信息 AIController 基础信息 行为树和黑板信息 执行环境信息 触觉系统信息 玩家网格和选择的Pawn的所有细节 通常有很多类别信息需要输出到屏幕上,通常用5个类别来显示: Navmesh Basic Behavi
Anti-Attach 防止调试器附加
LLC
08-16 5879
今天逛了下52pojie,看到有哥们发了一段代码,摘自《加密解密3》 看了下代码,只知道是HOOK ntdll.dll的ZwContinue函数,具体不知道为啥HOOK这个函数能发现调试器,这个时候我掏出了《加密解密3》,寻找答案, 发现书上写了这样一句话: Ring3调试器附加使用的是DebugActiveProcess函数,在附加相关进程时,会首先执行到ntdll.dll下的ZwCon
检查进程是否被调试
10-08 810
转自:http://www.cnblogs.com/this-543273659/archive/2013/03/04/2943380.html 在调试一些病毒程序的时候,可能会碰到一些调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图汇编啦之类的方法破解自己。为了了解如何破解调试技术,首先我们来看看调试技术。 ...
逆向入门-调试
AppWhite_Star的博客
07-30 1993
逆向基础-调试专题
给游戏或代码增加调试功能(应用层级)
weixin_44389943的博客
02-27 630
前言: 感谢:易道云学院 tiger老师指导: 调试分为:打开一个调试进程和调试一个现有的进程。 DebugByCreate为真时调用CreateProcess()函数打开一个调试进程,当DebugByCreate为假时调用DebugActiveProcess(dwPID)函数调试一个现有的程序。 一、调用CreateProcess()函数打开一个调试进程: 调用CreateProcess()函数实际底层调用: 二、调用DebugActiveProcess(dwPID)函数调试一个现有的程序
180316 逆向-调试技术(9)防止附加和父进程检测
whklhhhh的博客
04-03 2074
1625-5 王子昂 总结《2018年3月16日》 【连续第531天总结】 A. 调试技术(9) B. 防止调试器附加 R3调试器附加使用的是DebugActivePocess函数,在附加相关进程时,会首先执行到ntdll.dll下的ZwContinue函数,最后停留在ntdll.dll的DbgBreadkPoint处 可以通过Hook上述两个函数,如果执行了则说明有调试器附加 ...
visual studio code 好用的附加调试器
10-09
对于 Visual Studio Code,有一些好用的附加调试器可以提高开发效率。以下是几个常用的附加调试器: . Debugger for Chrome:允许在 Chrome 浏览器中调试 JavaScript 代码。 2. Python:为 Python 提供调试支持,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值