eac 反调试_一种可能被用于EAC保护的检测调试器方案

最新推荐文章于 2024-09-03 10:13:41 发布
最新推荐文章于 2024-09-03 10:13:41 发布
阅读量2.3k 收藏 7
点赞数
文章标签: eac 反调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39727976/article/details/111528339
版权
本文探讨了EAC(Easy Anti-Cheat)的一种反调试策略,通过分析调试流程和调试对象,揭示EAC如何检测并阻止调试器。实验表明,EAC通过Obcall捕获调试器附加时创建的线程句柄,而不是通过查找特定链表或结构来确定调试器。
摘要由CSDN通过智能技术生成

测试环境:

Windows7 x64 虚拟机 win10 1809 x64 虚拟机

0x0 起因

小伙伴 @DBDig 最近也在玩APEX这个游戏,因为这个游戏有EAC保护所以有反调试,遂准备安排它。R3降权pass以后,下断没反应还又卡死又崩溃的。于是他自写了一个exe来模拟调试器的行为,万万没想到,EAC竟然对我们的exe做了这种事!他居然hook了我们的 WaitForDebugEvent这个函数,

头部 retn 10 简单粗暴,怪不得啥都没反应,都收不到调试事件了还调试个锤子?据实测,CE、x64dbg均被同样处理了。且只有游戏被调试了才会被处理,如果就开在那里则不会被处理。可以排除是定时扫进程这种操作了。

问题来了,EAC是怎么找到我们的调试器进程呢?甚至连“自写调试器”也不能幸免?

0x1 猜测

喜闻乐见的瞎蒙时间。被调试程序和调试器之间一定存在着某种神秘的联系,才能让EAC顺藤摸瓜找到我们的调试器。首先想到的就是父进程,父进程是一种手段,然而在调戏游戏的时候大多数采用附加而没有多少机会直接使用调试器启动游戏,因此父进程被排除了。

既然我们从模拟调试器的行为上发现了游戏对我们的程序做了手脚,就继续从这方面入手吧。于是我找到了这个函数:DebugActiveProcess。翻一下msdn,该函数定义如下:

调用完这个函数以后发现它做了一件很重要的事情,那就是创建了一个DEBUG_OBJECT对象。

实际上

最低0.47元/天 解锁文章
weixin_39727976
关注
vc++ hook 拦截自己进程指定的api函数_自己动手制作一个过保护调试器
weixin_39908263的博客
11-26 1091
一、起因第一次接触驱动开发的小白,事情是这样的,一个星期前突发奇想想做一个腻o调试器保护程序用于调试游戏,既然要调试驱动保护的程序,自然也要深入驱动底层做调试器必须要hook api去隐藏调试器的参数 所以就有了今天这篇文章。二、准备的东西第一个版本的调试器保护程序就是今天要说的用到ETW(Event Tracing for Windows)hook 去Hook api 实现隐藏参数...
eac 调试_白帽Wiki - 白帽入门,从这里开始!
weixin_35064596的博客
01-15 385
用来干什么懂的都懂```cpp#define HUOJI_POOL_TAG 'huoJ'#define CALCSIZE(n,f) (ULONG_PTR)f - (ULONG_PTR)n#define PAGE_ALIGN(Va) ((PVOID)((ULONG_PTR)(Va) & ~(PAGE_SIZE - 1)))typedef HMODULE(WINAPI* LOADLIBRARY...
EAC防爆012认证详解,干货分享!
最新发布
liamjiangmingyao的博客
09-03 472
CU TR 012是俄罗斯联邦针对防爆产品的法规,也叫TP TC 012,是防爆产品出口俄罗斯、白俄罗斯、哈萨克斯坦等海关联盟国家所必须的强制性CU TR认证(EAC认证)的法规。2011年10月18日№825决议CU TR 012/2011《防爆设备安全性》海关同盟技术法规自2013年2月15日生效,用于潜在爆炸环境的防爆设备必须按照CU TR 012/2011设计和制造,以确保在使用时能够可靠地防止因使用本设备而引起的爆炸或火灾。“ m”(“ ma”,“ mb”,“ mc”)-通过化合物封装;
调试调试
ahoo110的博客
05-24 789
http://www.52pojie.cn/thread-271854-1-1.html
EAC作弊绕过工具源代码_NP_dbd绕过eac_绕过np_绕过eac_np作弊_
10-01
作弊绕过工具.可以绕过np等大部分作弊工具
简单绕过EAC作弊检测分析【1】
WorryFree
05-02 1万+
EAC 是一个内核作弊 “系统”,它可以检测任何东西。 想要欺骗它,你必须先加载一个内核驱动程序,然后才能防止它。
简单说一下 Steam平台 常用游戏的EAC调试保护 WIN7X64
落笔飞花笑百生的博客
05-09 1万+
内核层:3个内核线程用于不停的恢复THREAD PROCESS-CALLBACK 直接1字节anti会开启不了驱动 这里比以前的TP好点儿               CALLBACK里面抹去了句柄的读写内存权限 导致OD看不见进程 CE搜不了内存              附加 三个驱动里面改了线程暂停位的附加线程 导致OD附加 游戏直接消失 还有僵尸进程
eac 调试_自己动手制作一个过保护调试器
weixin_39847034的博客
12-19 1804
原标题:自己动手制作一个过保护调试器一、起因本人是新手第一次接触驱动开发的小白,事情是这样的,一个星期前突发奇想想做一个调试器保护程序用于调试游戏,既然要调试驱动保护的程序,自然也要深入驱动底层。做调试器必须要hook api去隐藏调试器的参数,所以就有了今天这篇文章。二、准备的东西第一个版本的调试器保护程序就是今天要说的用到 ETW(Event Tracing for Windows) hook...
EAC_dbp-master_DBPmaster_
10-01
标题"EAC_dbp-master_DBPmaster_"和描述"dbp master This plugin employs a number of methods to hide debugger detection"提到了一个名为"dbp master"的插件,它主要用于隐藏调试器检测。这暗示我们讨论的主题涉及...
LyScript 实现绕过调试保护
热门推荐
CSDN
08-12 1万+
LyScript插件中内置的方法可实现各类调试以及屏蔽特定API函数的功能,这类功能在应对病毒等恶意程序时非常有效,例如当程序调用特定API函数时我们可以将其拦截,从而实现保护系统在调试时不被破坏的目的。
Watch.Dogs.2.EAC.Bypass_ywgj_
10-02
游戏工具wemod修改器是一款针对各种单机游戏打造的修改软件。该软件界面美观,在游戏内直接打开修改器,针对游戏提供对应的修改功能,帮助玩家解决游戏卡关的问题,而且现在已经拥有了的界面了。
APEX-EACBypass:APEX-EACBypass(用户模式)
03-17
APEX-EAC绕过 用法: 编译出来重命名为“ EasyAntiCheat_launcher.exe”替换到游戏目录下,用橘子平台启动游戏 关于心跳 写个空的dll命名为“ EasyAntiCheat_x64.dll”替换到游戏目录下用你自己的方式加载到游戏里如果以后加强了怎么办?下,应该是断在检测EAC未运行那个画面,执行到用户代码,发现是“ binkawin64.dll”这个模块的线程,然后,看是程序哪里起的这个线程,一层回溯上去。办法:柿子挑软的捏,那些同时使用UE和EAC的游戏,大部分裤子都被扒干净了,找到他们的SDK,其中引用EAC SDK的部分,看一看EAC的SDK整体的结构是怎么样的,大概有什么函数,dump下进程来看看汇编的样子,然后可以在APEX里面找找看。不过这个游戏是起源改,不久后难逃被扒光的命运,毕竟起源引擎“约等于巧”办法2:游戏没加壳,拿起他的EAC键就跑
RACEAC:通过在 Dead by Daylight 中滥用 TOCTOU 绕过 EAC 完整性检查
05-29
雷亚克 通过在 Dead by Daylight 中滥用 TOCTOU 来绕过 EAC 完整性检查。 几句话 为了阻止人们通过修改游戏文件作弊,Dead by Daylight 收到了一个更新,引入了对 pak 文件/资产的完整性检查。 换句话说,诸如禁用模型以获得更好的视图和/或禁用证书锁定以进行网络拦截之类的事情不再可能。 除非...? 错误 这个错误很简单,我在分析 DbD 如何使用 Procmon 加载他们的资产时偶然发现了这种行为,我注意到 EAC 对文件执行检查,但游戏本身会重新打开文件以读取实际内容。 我不太熟悉 EAC SDK 的样子,但我假设 SDK 使您能够获取文件句柄(并让它自动验证其完整性),并且您应该在阅读时重用该句柄从文件中。 也就是说,我们发现了一个 TOCTOU(Time Of Check,Time Of Use 漏洞)! 游戏会验证资产的完整性,但是如果我
4.4 x64dbg 绕过调试保护机制
CSDN
07-08 5627
在Windows平台下,应用程序为了保护自己不被调试器调试会通过各种方法限制进程调试自身,通常此类调试技术会限制我们对其进行软件逆向与漏洞分析,我们以第一种`IsDebuggerPresent`调试为例,该函数用于检查当前程序是否在调试器的环境下运行。函数返回一个布尔值,如果当前程序正在被调试,则返回True,否则返回False。
调试&调试 -- 利用sysctl检测调试器是否存在
weixin_34405925的博客
07-04 609
防护 当一个进程被调试时,该进程会有一个标志位来标记他正在被标记。sysctl函数可用于查看当前进程的信息。 使用该函数,需要导入系统库#import <sys/sysctl.h>。 函数介绍 /* 函数的返回值若为0时,证明没有错误,其他数字为错误码。 arg1 传入一个数组,该数组中的第一个元素指定本请求定向到内核的哪个子系统。第二个及其后元素依次细化指定该系统的某个部分。...
调试器揭密
华章IT官方博客
06-09 6127
Normal 0 7.8 磅 0 2 false false false EN-US ZH-CN X-NONE
探索游戏世界的新钥匙:EAC Bypass
gitblog_00051的博客
05-26 333
探索游戏世界的新钥匙:EAC Bypass EAC_dbpEAC Bypass项目地址:https://gitcode.com/gh_mirrors/ea/EAC_dbp 1、项目介绍 在电子竞技的浪潮中,作弊系统(如Easy Anti-Cheat, 简称EAC)扮演着至关重要的角色,它确保了在线对战的公平性。然而,对于开发者和测试人员来说,这些系统有时会成为调试游戏的阻碍。为了打破这一僵局,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值