简单绕过EAC反作弊检测分析【1】

已于 2022-05-02 21:55:25 修改
阅读量9.1k 收藏 11
点赞数 1
文章标签: windows 游戏引擎
于 2022-05-02 21:54:44 首次发布
By Rose
本文链接:https://blog.csdn.net/qq_41963135/article/details/124546933
版权

Easy Anti Cheat,嗯,众所周知!

EAC 是一个内核反作弊 “系统”,它可以检测任何东西。
想要欺骗它,你必须先加载一个内核驱动程序,然后才能防止它。

以下是它的常用手段:
阻止与游戏进程的所有交互
扫描所有进程与模块
扫描已知的可疑DLL模块
扫描已知的可疑驱动程序
扫描所有打开的句柄的列表降权处理
检测自身回调是否被挂钩
扫描磁盘和设备
记录所有加载的驱动程序
收集 HWID 信息
检测调试器
查找手动映射的驱动程序
检测手动映射的驱动程序跟踪
检查内核补丁
查找物理内存的句柄
使用虚拟保护检测模块
从没有实际模块支持的区域转储可疑字符串
扫描未由模块支持的区域中可能的 syscall 存根(已编辑)
执行窗口枚举以检测可疑叠加
枚举可疑的共享内存部分
检测挂钩
检查所有服务
扫描所有线程和系统线程
堆栈
检测手动映射的模块
驱动器加载器检测
虚拟机监控程序和虚拟机检测
DbgUiRemoteBreakin
PsGetProcessDebugPort
读取 DR6 和 DR7
检测各种你注册的回调

简单地说EAC清楚的知道你是谁,禁止你只是迟早的事情,注册表信息记录如下:
HKEY_LOCAL_MACHINE\Hardware\Description\System\CentralProcessor\0
1.SystemProductName
HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\Scsi\Scsi Port 0\Scsi Bus 0\Target Id 0\Logical Unit Id 0
1.Identifier
2.SerialNumber
3.SystemManufacturer
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SystemInformation
ComputerHardwareId
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\BIOS
1.BIOSVendor
2.BIOSReleaseDate
3.ProductId
4.ProcessorNameString
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Class{4d36e968-e325-11ce-bfc1-08002be10318}\0000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
1.InstallDate
2.DriverDesc
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate
1.SusClientId
以及没有列出的其他信息。。。。。。

用户模式基本挂钩:
ID Type API APIAddress ChangeByte OriinaByte
1 len[16] Inline ntdll.dll->DbgUiRemoteBreakin 0x7FF9A4F582C0 6A 00 6A FF E8 F7 B9 FC FF 60 00 00 00 80 78 02 48 83 EC 28 65 48 8B 04 25 60 00 00 00 80 78 02
2 len[8] Inline KERNEL32.DLL->CreateProcessA 0x7FF9A37EA7E0 E9 A7 5A E6 FE EC 58 48 4C 8B DC 48 83 EC 58 48
3 len[8] Inline KERNEL32.DLL->CreateProcessW 0x7FF9A37EAAB0 E9 97 57 E6 FE EC 58 48 4C 8B DC 48 83 EC 58 48
4 len[8] Inline KERNEL32.DLL->FreeLibrary 0x7FF9A37EA650 E9 B7 5B E6 FE 06 00 CC 48 FF 25 A9 60 06 00 CC
5 len[8] Inline KERNEL32.DLL->LoadLibraryA 0x7FF9A37EF500 E9 C7 0C E6 FE 06 00 CC 48 FF 25 29 12 06 00 CC
6 len[8] Inline KERNEL32.DLL->LoadLibraryExA 0x7FF9A37ED680 E9 C7 2A E6 FE 06 00 CC 48 FF 25 01 30 06 00 CC
7 len[8] Inline KERNEL32.DLL->LoadLibraryExW 0x7FF9A37E93F0 E9 17 6D E6 FE 06 00 CC 48 FF 25 F1 72 06 00 CC
8 len[8] Inline KERNEL32.DLL->LoadLibraryW 0x7FF9A37EE880 E9 07 19 E6 FE 06 00 CC 48 FF 25 B1 1E 06 00 CC
9 len[8] Inline KERNELBASE.dll->ResumeThread 0x7FF9A27DB2A0 E9 29 4E E7 FF 8D 54 24 48 83 EC 28 48 8D 54 24

公开学习交流群:179178187

Mr.Rose
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
eac 反调试_一种可能被用于EAC保护的检测调试器方案
weixin_39727976的博客
12-19 2208
测试环境:Windows7 x64 虚拟机 win10 1809 x64 虚拟机0x0起因小伙伴 @DBDig 最近也在玩APEX这个游戏,因为这个游戏有EAC保护所以有反调试,遂准备安排它。R3降权pass以后,下断没反应还又卡死又崩溃的。于是他自写了一个exe来模拟调试器的行为,万万没想到,EAC竟然对我们的exe做了这种事!他居然hook了我们的 WaitForDebugEvent这个函数...
vc++ hook 拦截自己进程指定的api函数_自己动手制作一个过保护调试器
weixin_39908263的博客
11-26 990
一、起因第一次接触驱动开发的小白,事情是这样的,一个星期前突发奇想想做一个腻o调试器保护程序用于调试游戏,既然要调试驱动保护的程序,自然也要深入驱动底层做调试器必须要hook api去隐藏调试器的参数 所以就有了今天这篇文章。二、准备的东西第一个版本的调试器保护程序就是今天要说的用到ETW(Event Tracing for Windows)hook 去Hook api 实现隐藏参数...
EAC反作弊绕过工具源代码_NP_dbd绕过eac_绕过np_绕过eac_np反作弊_
10-01
反作弊绕过工具.可以绕过np等大部分反作弊工具
简单说一下 Steam平台 常用游戏的EAC反调试保护 WIN7X64
落笔飞花笑百生的博客
05-09 1万+
内核层:3个内核线程用于不停的恢复THREAD PROCESS-CALLBACK 直接1字节anti会开启不了驱动 这里比以前的TP好点儿               CALLBACK里面抹去了句柄的读写内存权限 导致OD看不见进程 CE搜不了内存              反附加 三个驱动里面改了线程暂停位的反附加线程 导致OD附加 游戏直接消失 还有僵尸进程
请问ce如何过ace的检测,使用ce抓基址时被检测
最新发布
wayfoil的博客
07-06 1044
新手初来乍到。
VMware虚拟机过检测详细教程,巨全面,小白专享教程
热门推荐
qq_54001206的博客
08-28 4万+
虚拟机过检测,修改硬件,解除机器码,流畅稳定多开游戏
Windows 逆向】使用 Cheat Engine 工具进行指针扫描挖掘关键数据内存真实地址 ( 指针扫描 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-14 7614
前言、 一、获取动态地址、 二、扫描目前地址指针、 1、初次扫描、 2、重启游戏后再次扫描、
eac 反调试_白帽Wiki - 白帽入门,从这里开始!
weixin_35064596的博客
01-15 320
用来干什么懂的都懂```cpp#define HUOJI_POOL_TAG 'huoJ'#define CALCSIZE(n,f) (ULONG_PTR)f - (ULONG_PTR)n#define PAGE_ALIGN(Va) ((PVOID)((ULONG_PTR)(Va) & ~(PAGE_SIZE - 1)))typedef HMODULE(WINAPI* LOADLIBRARY...
一般游戏的反外挂保护方案
zzz822163的专栏
05-25 2975
所谓知己知彼方能百战不殆,要想减少或避免外挂对游戏的侵害,必须从根本上知晓外挂的原理,及其常用的技术手段,从而在技术手段上对其进行封堵。一、外挂的分类 外挂一般的分为2类,脱机式 和 内挂式。脱机式外挂的定义:完全脱离官方发布的客户端程序,可以与游戏服务器自由的进行通讯的外挂程序,这类外挂的实现是2类外挂里最困难的,主要难点在于外挂制作者需要对游戏的通讯协议进行充分的分析,包括解决封包的加密解密问
RACEAC:通过在 Dead by Daylight 中滥用 TOCTOU 绕过 EAC 完整性检查
05-29
雷亚克 通过在 Dead by Daylight 中滥用 TOCTOU 来绕过 EAC 完整性检查。 几句话 为了阻止人们通过修改游戏文件作弊,Dead by Daylight 收到了一个更新,引入了对 pak 文件/资产的完整性检查。 换句话说,诸如禁用模型以获得更好的视图和/或禁用证书锁定以进行网络拦截之类的事情不再可能。 除非...? 错误 这个错误很简单,我在分析 DbD 如何使用 Procmon 加载他们的资产时偶然发现了这种行为,我注意到 EAC 对文件执行检查,但游戏本身会重新打开文件以读取实际内容。 我不太熟悉 EAC SDK 的样子,但我假设 SDK 使您能够获取文件句柄(并让它自动验证其完整性),并且您应该在阅读时重用该句柄从文件中。 也就是说,我们发现了一个 TOCTOU(Time Of Check,Time Of Use 漏洞)! 游戏会验证资产的完整性,但是如果我
CVEAC-2020:EasyAntiCheat完整性检查模仿内存更改,绕过
03-20
CVEAC-2020 这绕过了EasyAntiCheat.sys的完整性检查,使您可以有效地禁用其主要功能。它包含一个示例,该示例规避了针对线程和进程的操作前回调所施加的限制。 EAC的完整性检查如何工作? 在此处阅读完整文章: : 去做 修改此项目以适合您自己的需求。 使用的第三方库 nmd(单头反汇编程序): :
APEX-EACBypass:APEX-EACBypass(用户模式)
03-17
APEX-EAC绕过 用法: 编译出来重命名为“ EasyAntiCheat_launcher.exe”替换到游戏目录下,用橘子平台启动游戏 关于心跳 写个空的dll命名为“ EasyAntiCheat_x64.dll”替换到游戏目录下用你自己的方式加载到游戏里如果以后加强了怎么办?下,应该是断在检测EAC未运行那个画面,执行到用户代码,发现是“ binkawin64.dll”这个模块的线程,然后,看是程序哪里起的这个线程,一层回溯上去。办法:柿子挑软的捏,那些同时使用UE和EAC的游戏,大部分裤子都被扒干净了,找到他们的SDK,其中引用EAC SDK的部分,看一看EAC的SDK整体的结构是怎么样的,大概有什么函数,dump下进程来看看反汇编的样子,然后可以在APEX里面找找看。不过这个游戏是起源改,不久后难逃被扒光的命运,毕竟起源引擎“约等于巧”办法2:游戏没加壳,拿起他的EAC键就跑
40G郁金香VC++游戏辅助制作视频教程(如何学习OD调试游戏必看|过保护驱动开发视频)
05-17
虽然现在PC网游已进入落幕时期,但是曾经的游戏安全辉煌有郁金香一份功劳。现在我把40G郁金香VC++游戏辅助制作视频教程全部发布出来,其中包括VC基础和OD反汇编调试教程和驱动研发教程等是非常完整一系列游戏辅助视频教程。也适合以后到游戏公司从事游戏安全行业的人研究和学习。
VT过游戏保护,调试有保护的游戏
01-25
VT过游戏保护,调试有保护的游戏。无视TP,HP,PP。
消消乐源码
03-07
消消乐源码 好玩的小游戏 
FAQ-185E1EAC_EN.zip
04-01
FAQ-185E1EAC_EN.zip 介绍了关于FAQ-185E1EAC_EN.zip的详细说明,提供其它知识的技术资料的下载。
EAC抓轨工具 Exact Audio Copy v1.5 中文版 for win10
03-22
Exact Audio Copy中文版EAC抓轨工具是一款专业的光盘音频抓取音轨软件,软件功能强大,几乎可以抓取任何光盘的音轨,不失真的转成WAV,但是需要外挂MP3Encoder.exe或其它编码软件才能转成MP3,软件还内置很多有助于...
openpace:EAC版本2的加密库
04-09
OpenPACE -EAC版本2的加密库OpenPACE实现了BSI TR-03110中指定的扩展访问控制(EAC)版本2。 OpenPACE包含对以下协议的支持: 密码身份验证连接建立(PACE)使用仅共享弱机密的两方之间的强密钥建立安全通道。 终端...
过NP保护的CE工具
07-10
过NP保护的CE工具,他可以过目前市面上的有保护的的CE
我现在在学习挣值分析题,CV,SV,CPI,SPI,EAC,VAC分别是什么怎么求
06-06
CV是Cost Variance(成本偏差),其计算公式是:CV = EV - AC,其中EV表示挣值,AC表示实际成本。CV为正值表示项目成本低于预算。 SV是Schedule Variance(进度偏差),其计算公式是:SV = EV - PV,其中EV表示挣值,PV表示计划价值。SV为正值表示项目进度超前于计划。 CPI是Cost Performance Index(成本绩效指数),其计算公式是:CPI = EV / AC,CPI大于1表示项目成本效率高于预期。 SPI是Schedule Performance Index(进度绩效指数),其计算公式是:SPI = EV / PV,SPI大于1表示项目进度效率高于预期。 EAC是Estimate At Completion(完工估算),其计算公式有多种,比如EAC = AC + BAC - EV,其中AC表示实际成本,BAC表示预算总成本,EV表示挣值。EAC是项目最终成本的估算值。 VAC是Variance At Completion(完工偏差),其计算公式是:VAC = BAC - EAC,其中BAC表示预算总成本,EAC表示完工估算。VAC为正值表示项目预算充裕。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mr.Rose

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值