IDA反调试、反汇编解决方案

于 2024-06-11 11:35:30 发布
阅读量790 收藏 7
点赞数 5
文章标签: 游戏 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46702493/article/details/139594763
版权

IDA全称为Interactive Disassembler Professional,是一款交互式静态反汇编工具,它可以直接反汇编出二进制文件的汇编代码,是逆向分析领域最强大的工具之一。

IDA支持Windows、Linux等多平台与数十种指令集,凭借着泛用性与友好的图形化界面,被广泛应用于逆向分析。但也因此被游戏黑灰产所利用,不少外挂作者会使用IDA来分析游戏代码逻辑,寻找关键函数进行hook操作从而实现绕过保护、破解游戏的目的。

IDA使用界面功能划分

得益于强大的反汇编能力,IDA的应用大幅度降低了游戏破解的门槛,其使用步骤整理如下:

在IDA中打开目标游戏的可执行文件,即可进行分析,可将二进制文件进行反汇编转换为便于阅读、分析的汇编代码。

接着使用IDA的图形界面,浏览分析后的代码和函数调用等关系,通过分析代码之间的关系,可以更好地了解游戏的代码逻辑。

随后通过IDA的搜索功能查找关键函数,如角色攻击、胜负逻辑等,通过双击关键函数,即可查看详细代码,找出可以进行hook操作的点,从而完成对游戏的破解。

IDA 与 Frida联合调试APK

除了强大的反汇编能力,IDA还可以实现远程调试SO文件与直接调试伪代码,因此IDA还可以被用来绕过游戏内现有的保护。

IDA远程调试SO库

从游戏安全层面来看,想要对抗黑灰产的调试攻击,需要从加壳保护、反调试两方面入手。FairGuard针对的游戏遇到的上述问题,提供定制化解决策略,该保护方案已接入多款热门游戏并验证了出色的保护能力。

无导入函数SO加壳技术

FairGuard独家技术,深入游戏底层提供最强级别加密防护,保护游戏代码不被分析,防止破解者的进一步操作。

FairGuard加固后IDA导出表中无SO函数

反调试功能

防止外挂作者对游戏进行调试,阻止对游戏的静态或动态分析,一旦检测到IDA/frida等调试分析工具,立即闪退。 

防破解功能

FairGuard业界独家无API签名校验技术,对游戏的引擎与代码进行深度加密,并对游戏包签名和文件完整性进行多重校验,防止游戏被植入恶意模块、剔除广告等。

博客
iOS 越狱检测/反越狱
05-12 7094
网络上常见的 iOS 越狱检测代码存在各种各种的问题,且市面上存在许多免费的反越狱检测插件。我们在分析了大量反越狱插件的基础上,针对性地开发了越狱检测模块。
博客
如何检测隐藏在Magisk背后的ROOT及外挂
04-26 1万+
Magisk可对Root和自身都进行隐藏,使得应用检测不到ROOT,而且也检测不到Magisk的存在。 FairGuard解决了这个检测技术难点,深挖出一波在Magisk背后使用外挂的玩家。
博客
Unity il2cpp global-metadata.dat 加密方案
03-25 6339
FairGuard 开发了il2cpp global-metadata.dat 加密方案(同时支持 Android / iOS / Windows),防止il2cpp.so和global-metadata.dat 被 IL2cppDumper 等工具解析。
博客
Unity Resources资源随机化加密方案
03-05 1296
Unity Resources类型的资源因为简单易用的特点,使其非常适合用于快速开发原型。本文分享对此类Resources资源的随机化加密方案
博客
FairGuard游戏Lua加密方案解析
10-26 3537
FairGuard 从多个攻击角度审视 Lua 脚本安全问题,从 Lua 语言多各个层面出发,推出了全新的 Lua 脚本加密方案,该方案能为 Lua 代码提供高强度的保护。同时支持官方 Lua 与 LuaJIT,支持 Cocos2dx 引擎,支持 uLua / toLua / xLua 等 Unity3d 插件。......
博客
Unity Assetbundle资源加密方案
07-13 2389
独创了加密强度高,性能开销小的Assetbundle资源加密方案,支持Android/iOS双平台,支持在线下发的ab包加密
博客
Unity Mono DLL的破解及保护
05-22 2987
Mono dll脚本是Unity前期包含现在还有很多游戏在使用的脚本方式,这种脚本可以使用工具(如dnspy)完全逆向。破解者改包和竞品分析的难度非常低。 很多有安全意识的游戏都会自己修改mono源码的mono_image_open_from_data_with_name函数,对DLL脚本进行加密。不过这种的加密方式缺点比较明显。会在加载前进行一次性解密,游戏运行过程中,内存中存在解密后完整的DLL。只要使用现成的工具就可以把DLL从内存里面扣出来。 ...
博客
游戏如何应对AssetStudio解包工具
05-06 406
同时,FairGuard加固方案可根据配置选项,增加防破解、反修改器、反变速、反调试、反虚拟机、反云手机等多项功能,对游戏进一步加固防护,可有效解决游戏面临的各项安全问题。如:某MOBA手游曾被解包,处在规划阶段的皮肤的技能特效及部分建模被爆料,引发了玩家对官方的制作水平的声讨,最后推翻重做,之前的方案付诸东流,造成了巨大的损失。AssetStudio的使用十分便捷,大幅度降低了游戏资源破解门槛,如何有效对游戏资源进行加密,提高破解门槛,保护游戏资源,成了游戏厂商的必修课。支持游戏资源批量导出。
博客
游戏如何应对Cheat Engine修改器
04-10 555
可将储存的内存地址、Lua脚本和代码位置以 .CT 的拓展文件进行导出/导入,作弊用户可以在 Cheat Engine 社区分享/下载外挂,降低了使用门槛,也让外挂作弊更加泛滥。除了内存修改,Cheat Engine 还自带变速功能,可以通过 Hook 游戏相关函数,改变游戏速度,实现全局加速/减速功能。如:定位游戏角色的血量,并对该内存进行锁定,可以实现“无敌挂”,修改游戏中角色的攻击力,可以实现“秒杀挂”等。,通过反复扫描,对游戏内存地址进行定位,确认内存地址后,可以对其进行编辑、锁定等操作。
博客
iOS rootless无根越狱检测方案
03-27 669
传统的越狱模式为了获取高级用户权限,会重新安装文件系统并修改系统分区,导致越狱后设备无法正常更新,在运行中也会变得不稳定,想要还原设备需要经过一系列复杂操作,作弊成本较高。设备越狱后,用户通过获取的最高权限,可使用 Cydia 管理器等软件,绕过 App Store 安装各种未审核的插件、外挂,修改系统文件,甚至访问系统级别的API。通过巨魔商店,下载并安装Dopamine越狱工具,经过一系列设置,就可以为设备写入rootless无根越狱环境,从而为各类修改器、外挂提供便利,实现游戏作弊。
博客
Unity小游戏代码加密功能已上线
03-25 1022
在 Unity IL2CPP 模式下,游戏逻辑是以 Native 代码运行, 但依然存在 C# 某些语言特性(如GC、反射),会将所有的 C# 中的类名/属性名/字符串等信息记录在 global-metadata.dat 中,IL2CPP 启动时会从这个文件读取所需要的信息。此外,FairGuard小游戏加固方案在接入流程也做到了零接入成本,自动化配置:无需接入SDK,无各类复杂的配置,只需要设置一个gamekey,运行一条命令行即可在 30 秒内完成加固,且不会产生冗余包体。
博客
游戏抓包检测方案
03-25 524
某游戏曾被脱机挂困扰,外挂作者通过各种渠道散播、售卖外挂,大量工作室账号刷取游戏内资源,不仅严重影响了游戏内的经济系统,还占用了大量服务器资源,影响了正常玩家游戏体验,破坏了游戏公平性,导致玩家付费意愿降低,游戏方损失惨重。其实现原理就是对游戏封包进行解析,破解通讯协议后,使用VPN搭载在封包数据传输过程中,将封包中的数据、逻辑进行篡改。当下游戏市场,黑灰产攻击角度愈发刁钻,除了常见的内存修改外挂、定制注入挂,针对游戏抓包制作的“封包挂”“脱机挂”数量有所上涨,如何有效检测游戏抓包成为游戏厂商一大痛点。
博客
游戏如何检测GG修改器
03-25 988
据FairGuard数据统计,在游戏面临的众多安全风险中,「内存修改」攻击占比约为11%,主要实现方式为:获取高权限后使用内存修改器对游戏内存进行篡改。针对游戏面临的内存修改风险,FairGuard研发了行为检测方案,可对内存修改行为进行精准识别,通杀各类修改器外挂及其变种,做到有效防护。此外,GG修改器还支持脚本调用,通过脚本可实现定位、修改内存,达到自动破解的效果,这些脚本也是许多游戏外挂传播的主要方式。GG修改器除了本身的内存搜索、修改,还具有反检测的功能,用来防止被游戏检测到。
博客
UE引擎游戏加固方案解析
02-20 465
UE引擎开发的游戏中,代码会被编译成可执行文件(如.exe)和动态链接库(.dll),存储在Binaries目录中,而游戏的资源(如模型、纹理、音频等)通常以.uasset、.uexp、.umap等格式存储。据VGinsights的报告,近年来UE引擎在过去几年中市场占比显著增长,其中亚洲市场增幅达到了30%,随着UE5的推出和技术的不断进步,UE引擎在独立开发者和移动游戏开发中的应用也在逐步增加。如何有效对UE引擎资源进行加密,提高破解门槛,保护游戏资源,成了游戏厂商的必修课。行环境是否存在恶意工具。
博客
游戏如何检测Xposed框架
01-17 790
在安卓系统中,所有应用程序进程都是由 Zygote 进程孵化出来的,Xposed 的实现原理就是通过替换 /system/bin/app_process 程序来控制 Zygote 进程,使它在系统启动过程中加载 Xposed framework 的 jar 文件,从而完成对 Zygote 进程及创建的 Dalvik / ART 虚拟机的劫持。在作弊原理的角度看,LSPosed 框架的修改方式更加灵活、方便,可在不影响应用程序的签名和完整性情况下,对游戏数值模块、运行逻辑进行修改。
博客
FairGuard游戏安全2024年度报告
01-09 1087
FairGuard游戏安全针对当下游戏安全对抗中黑灰产业链、黑产工作室、黑卡充值、exe模拟器外挂、鸿蒙NEXT游戏安全、隐私合规、渠道假量等问题进行了详细分析。
博客
游戏如何检测iOS越狱
01-03 1267
还有一种情况,如果一台设备使用了不完美越狱,并使用了 Cydia 商店,设备重启后会恢复到未越狱状态,但 /Application/Cydia.app 依然存在,这种情况下就会造成误报。设备越狱后,用户可以通过获取的最高权限,安装 Cydia 管理器等软件,从而绕过 App Store 安装各种未审核的插件、外挂,来修改系统文件,甚至访问系统级别的API。采用独家检测技术,做到精准识别不误报,会根据多种运行时信息综合判断,对未知反越狱插件/越狱方式做检测,针对反越狱插件做处理,不漏报。
博客
游戏如何检测Root权限
01-03 900
据观察,某些模拟器的特性也被利用,如MuMu模拟器,在开启/关闭Root权限时不需要重启,玩家可以先开启Root权限打开外挂,再关闭Root权限运行游戏,这样外挂得到了Root权限,而游戏方却检测不到Root环境。作弊者还可通过Magisk内的LSP框架,将游戏外挂、游戏修改器等应用添加到模板中设置为不可见,再将模板应用于游戏,实现了游戏运行过程中,隐藏外挂及修改器,来躲避安全检测。这样操作下来,设备的Root权限、Magisk应用、外挂等可能被检测的线索都被隐藏起来了,可以绕过大多数传统的检测手段。
博客
游戏渠道假量解决方案
12-19 894
是指在游戏推广、展示广告等场景下,使用设备群控、设备多开搭配脚本来模拟真实用户行为,进行交互、安装、捏造貌似合法的虚假活动,盗取游戏的 CPI 和 CPA 营销预算的行为。不同于市面上其他产品,FairGuard加固采用更底层的检测手段,精准区分游戏运行环境,可识别云手机、虚拟机、虚拟框架、越狱、ROOT等各类风险环境,并提供个性化闪退策略。精心构造的智能监控系统,通过留存、付费、用户行为等多维度数据综合判断,精准识别假量、刷量行为,可产出真实有效的数据报告,对接游戏方处理,避免营销费用浪费。
博客
游戏何如防抓包
12-19 790
游戏抓包是指在游戏中,通过抓包工具捕获和分析游戏客户端与服务器之间传输的封包数据的过程。抓包工具可实现拦截、篡改、重发、丢弃游戏的上下行数据包,市面上常见的抓包工具有WPE、Fiddler和Charles Proxy等。抓包工具有两种实现方式,一类是基于硬件,比如让网卡处于混乱模式,即可拦截封包数据进行反编译;另一类则是通过hook手段,针对 send 和 recv 类函数进行拦截,获得封包数据。抓包工具WPE外挂作者抓包后,会对封包数据进行分析与破解,最终实现制作外挂的目的。本文将通过
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值