关于腾讯游戏的反外挂保护来一个总结

关于腾讯游戏的所有保护
Ring3 和Ring0 全部做了措施，检测辅助开发阶段调试工具 和 HOOK 内核Api ，可以和部分杀毒软件相比了。) 
一、腾讯在ring3层检测调试工具：它又分为两点。
1、检测进程上的模块名（包括进程的路径和模块路径上出现的敏感字）
2、检测进程界面上的控件名和窗口名上的敏感字
所表现的常见现状：比如 一打开CE或VE，还没加载上游戏，游戏就自动关闭，并且弹出非法警告框.
腾讯的“反外挂小组”几乎把网络上所有的CE工具、VE工具、OD工具的界面敏感文字 全收集了。一旦打开这些工具，那么就报出非法提示
而这一点，不了解的朋友，都归说 是TP驱动的原因，到处的找“过TP驱动”的方法，其实和TP驱动没任何的关系
即使你过了TP驱动，也没用，因为你过了驱动层的钩子而已。对于发作于ring3层那种顶！的敏感字检测却没去考虑。
经过测试发现：自己写了一个空的vb程序，界面的关键字写的和ce工具一样，打开就立刻报非法。
而把这些常见CE关键字修改掉后,游戏就不报非法了。这样就过了ring3的关键字检测。
网络上所有的CE工具 和 VE工具全部可以用，只要修改下界面上控件的名称和程序窗口名称和隐藏掉进程的模块即可。
二、腾讯在ring0层-HOOK内核函数（这个才是TP的驱动发挥的“功效”）
这个说来话长，简单的说hook一些内核api函数，让你外挂（包括工具）失效。
所表现的常见现状：比如无法加载游戏、获取进程句柄为0、修改内存失败、读取内存失败、按键失效等. ]
三、腾讯在ring0层-检测驱动运行状态
网络上有部分游戏反外挂保护，可以直接剥离掉游戏的驱动，那是因为游戏没判断驱动加载失败的情况。
而腾讯的所有 游戏都有这个驱动运行的判断，会检测驱动工作的情况。
1、检测驱动是否被加载OK（这个是发作于Ring3层）
所表现的常见现状：游戏启动的时候，用牛盾GPK去拦截TP,游戏就弹出驱动运行失败
2、检测驱动加载后，HOOK的内核函数头部的字节是否是原始字节。（如果是原始字节，那么就给你非法提示）. 
所表现的常见现状：用xuetr工具恢复内核hook后，游戏立刻报非法。

转载于:https://www.cnblogs.com/xiaoyuyu/archive/2012/11/10/2763966.html