这一章节我们将讲解如何利用堆栈的ebp返回地址,来检测各种非法call函数,本章节完整的示例代码放在2.11目录,例程中的代码运行效果如下所示: 一、原理分析 大多游戏都会根据调用栈来检测是不是合法调用,当然在ring3的话受限太多,下面这个代码的核心思路是: 1、检查是否为合法CALL inline hook OpenGL32/MessageBox,然后根据调用栈检测是不是游戏正常调用(比如主进程、XX.DLL),排除