win10 x64逆向某游戏线程检测(一)

最新推荐文章于 2024-05-06 15:19:26 发布
最新推荐文章于 2024-05-06 15:19:26 发布
阅读量1k 收藏 3
点赞数 2
文章标签: 游戏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41725706/article/details/128135160
版权

x64逆向某游戏线程检测 (一)

申明

以下是我对某个游戏的检测线程比较感兴趣进行一定分析,切勿用于非法行为,所产生后果自行承担,本人不负任何责任。

原理

一般线程检测需要用到API函数有CreateToolhelp32Snapshot—Thread32First—Thread32Next;在这当中某一个API下个断点即可,再找返回上一层就是调用它的地址。

定位逆向汇编代码

我下断点的api函数是:Thread32First;然后返回上层得到的地址如下:
在这里插入图片描述

汇编代码进行还原c代码

#define _CRT_SECURE_NO_WARNINGS
#include <iostream>
#include <Windows.h>
#include <tlhelp32.h>

int main()
{

	THREADENTRY32 te32;									// 线程快照信息
	// 创建线程快照
	HANDLE hThreadSnap = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);
	if (hThreadSnap == INVALID_HANDLE_VALUE)
	{
		GetLastError()|0xE0F0000; //错误码或上0xE0F0000
		//然后 跳转到相关处理函数
		std::cout << "如果相等就错了一些处理" << std::endl;
		return FALSE;
	}
	//把XMMO 置为0  R8 = CloseHandle地址 RDX = hThreadSnap RCX = 堆栈指针地址;
	//call 1c318fed458   不知道这个函数做什么检测用  下次跟进看看


	// 为快照分派内存空间
	te32.dwSize = sizeof(THREADENTRY32);
	// 获取第一个线程的信息
	if (Thread32First(hThreadSnap, &te32) == 0)
	{
		std::cout << "失败做一些处理" << std::endl;
	}

	while (1)
	{
		//mov rax,[rsi]  //rsi指向一个类
		//lea rdx,[rsp+38] //取的是te32堆栈地址 得到线程的相关信息
		//mov rcx,rsi   //把rsi的地址传给rcx
		//	call [rax]  //rax是一个函数地址值
		//这个函数传了二个值 第一个是rsi指向类的值,第二个传的是te32
		//做一些线程特征等检测  
		//之后分析这个函数检测了一些什么线程特征
	
		//检测完返回值不为0 那么就继续循环下个线程  
		BOOL tmp = TRUE;
		if (TRUE)
		{
			if (Thread32Next(hThreadSnap, &te32) == 0)
			{
				std::cout << "跳转到别的地方处理" << std::endl;
			}
		}

	}





}

总结

	//mov rax,[rsi]  //rsi指向一个类
		//lea rdx,[rsp+38] //取的是te32堆栈地址 得到线程的相关信息
		//mov rcx,rsi   //把rsi的地址传给rcx
		//	call [rax]  //rax是一个函数地址值
		//这个函数传了二个值 第一个是rsi指向类的值,第二个传的是te32
		//做一些线程特征等检测

主要就是分析上面这个检测函数做了什么,在检测二来具体分析!
如果对您有帮助,请点赞!谢谢

weixin_41725706
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
易学编程网之游戏过保护+游戏检测
weixin_kkq3的博客
02-14 1384
驱动编程01-开发环境的简单介绍 驱动编程02-C语言语法介绍 驱动编程03-运算符 表达式 语句 循环 驱动编程04-分支和跳转 驱动编程05-进制01 驱动编程06-进制的运算 驱动编程07-数组和指针 驱动编程08-数组和指针 驱动编程09-数组和指针 驱动编程10-结构体 驱动编程11-结构体 驱动编程12-指针 驱动编程13-指针 驱动编程14-指针 驱动编程15-指针 驱动编程16C+...
NGS-bypas_inject_nexon_bypass_nexongamesecurity_NGS_
09-29
Just debug and inject with your injector
win10 x64逆向游戏线程检测(二)
weixin_41725706的博客
12-03 644
x64逆向游戏线程检测(二)
游戏逆向】浅谈某平台调试软件检测分析
douluo998的博客
02-06 713
这样一来简单的结束线程这个方法就行不通了,那么思考下有没有别的方法能够绕过检测,由于这个游戏的他HOOK了很多API,而这些API的地址都是不连续的,他要检测其中的一个地址,不可能每次检测都获取一下,所以这些挂钩的地址很可能保存在某个全局变量中,基于这点我们尝试搜索DbgUiRemoteBreakin的地址,搜索到了一个地址。我们找个空白地址,因为他只修改了函数头部的前7个字节,所以检测时也应该是检测这个7个字节,我们把他修改后的这个7个字节写入空白地址,然后将我们搜索到的地址的值替换成空白地址。
游戏里的攻防-检测与反检测
记录生命的轨迹
08-12 1572
游戏爱好者
游戏逆向】探索可靠的线程检查方法
douluo998的博客
07-02 969
熟悉了外挂和木马的对抗手段,我们可以看出,如果仅对线程的代码,或者线程句柄进行检查,都将是不可靠的,我们需要有一种办法,让线程活动即对线程检查数据进行更新(对抗木马的手段4和5),如果发现线程长时间不活动,或者线程活动但是每没有更新线程检查数据,则可以判断这个线程有问题了。这种检查方法也是在对抗过程中进化出来的,当然现在它很可能继续被对抗,总之,在线程的对抗、防御和检查中,这样的思路是贯穿始终的,也就是对线程的代码、活动性同时进行多线程交叉检查,让一个线程不正常工作,其他线程全罢工。
软件加密技术内幕
03-19
4.4.1 Win9x下利用SEH进ring0 4.4.2 利用SEH实现对自身的单步自跟踪 4.4.3 其它应用 4.5 系统背后的秘密 4.6 VC是如何封装系统提供的SEH机制的 4.6.1 扩展的EXCEPTION_REGISTRATION级相关结构 4.6.2 数据结构...
MyFll Microsoft Visual FoxPro设计的扩展库
01-13
版本信息:由于不定期更新,请及时核对版本(右键属性),版本为X.X.X.X,第一位为主版本号,第二位为函数个数,第三位为发布的年份,第四位为日期。当前版本为:1.179.9.811 版权:你可以自由使用、散发此函数库及...
汇编x86x64游戏内存封包实战注入脚本lua辅助开发反调试过检测
zygx8的博客
02-26 562
一起浅谈NP保护检测(新破天一剑)X64
08-31 9546
首先大家看这款游戏NP启动后chian_login这是游戏   ,这款NP我扫描驱动后并没有发现有任何相关的NP驱动加载!!!! 那么我开着PCHunter进游戏后   被检测到外挂了!!!!!无语      那么这款NP有检测PCHunter64这个工具 然后我简单用驱动绕过一些基本的调试组件我也不知道NP有没有检测,不管NP有没有检测,绕过这些东西就安心了,呵呵   DebugPort    ...
检测线程状态
12-01
检测线程状态,可以跟踪多线程编程中线程的状态,用于调试代码
14.10 线程自我检测
zyhhkb的博客
05-09 82
1.设计4个线程对象,其中两个执行减操作,另外两个执行加操作。 package cn.kuiba.util; class Resource{ private int num=0; //加减操作的数据 private boolean flag=true; //转换加减线程的标志 //flag=true:加法线程执行,减法等待 //flag=true:减法线程执行,加法等待 public synchronized void add()th
std::thread joinable()用于检测线程是否有效
热门推荐
bobbypeng的专栏
08-24 1万+
std::thread joinable()函数,用于检测线程是否有效。 joinable : 代表该线程是可执行线程。 not-joinable :通常一下几种情况会导致线程成为not-joinable 1) 由thread的缺省构造函数构造而成(thread()没有参数)。 2) 该thread被move过(包括move构造和move赋值) 3) 该线...
C/C++ 实现常用的线程注入
CSDN
08-03 7058
各种API远程线程注入的方法,分别是 远程线程注入,普通消息钩子注入,全局消息钩子注入,APC应用层异步注入,ZwCreateThreadEx强力注入,纯汇编实现的线程注入等。
守望先锋游戏反外挂技术测评
ludongguoa的博客
09-23 1644
前言守望先锋作为目前最为火爆的游戏,赢得了广大玩家的青睐。在天梯赛开放过后,其反外挂机制受到了玩家的挑战。本文本着学习态度,通过“黑盒测试”的方式逐步分析其反外挂机制,最后再结合目前市面上的一款外挂验证其反外挂机制的有效性。反外挂之文件结构首先从守望先锋的文件入手,找到其反外挂机制的载体。守望先锋的文件结构树如图1所示。 守望先锋文件结构树 文件结构很清晰明了,可执行的文件包括:1. OverWatch.exe,该文件即为守望先锋的主程序;2. OverWatch_Launcher.exe,.
剧情游戏如何制作?
inyiu的博客
04-29 552
首先,你需要有一个扎实的故事框架,这个框架可以是一个详细的剧本或者是一个简要的大纲。在设计故事时,考虑到玩家的选择和互动是非常重要的,因为这些选择会影响到游戏的走向和结局。根据你的故事和设定,你可以选择不同的游戏类型,比如冒险、角色扮演、解谜等等。不断迭代和改进是制作过程中的关键,确保最终呈现给玩家的是一个令人难忘的游戏体验。一个吸引人的视觉效果和音乐配乐能够增强玩家的游戏体验,使他们更容易沉浸在游戏世界中。确保游戏的流程顺畅,没有bug,并且反复测试以确保玩家的选择能够正确地影响游戏进程和结局。
在UI界面中播放视频_unity基础开发教程
成长之路,任重道远,期待你的关注!
05-01 662
之前我写过一篇在场景中播放视频的文章,但是在开发中有时候也会在UI的界面中播放视频,这期我们做一下在UI的界面中播放视频。操作步骤比较简单,到这里就完成了,如果有问题的话可以在评论区留言,下期见,拜拜!
使用QT完成如图的游戏登录界面 使用信号和槽完成密文明文密码转换,重置账号和密码,登录校验 详细代码在主页下载
m0_67469586的博客
04-29 966
this->accline->setPlaceholderText("请输入账号...");this->pwdswitchbtn=new QPushButton("密文",this);//点击"密文"按钮时,按钮本身的文字变为“明文”,QLineEdit 中的内容也变为明文;this->pwdline->setPlaceholderText("请输入密码");this->pwdswitchbtn->setText("明文");this->pwdswitchbtn->setText("密文");
Unity读取GDAL格式航拍图的经纬度,高程,像素值
最新发布
u014261855的博客
05-06 144
我的解决方案是将分片读取的像素保存到本地外存中,dataset中的数据也保存到本地,在一次读取之后,再次运行时,值读取本地的分片图和配置文件就可以了,无需再解析gdal数据,速度会快几十倍。用此方法读取从startX、startY到 startX + width、startY + height的像素值,每一片宽高我设置的是2048,可以根据机器性能适当调整。实测航拍图有十几公里的时候,如果不分片,占用内存会超过10G,普通电脑难以运行起来,分片之后及时清理内存就可以适配大部分设备了。1.3.获取高程信息。
游戏map内存数据的逆向
06-08
对于某个游戏map内存数据的逆向,一般需要进行以下步骤: 1. 找到该数据在内存中的地址:可以使用调试器或者内存查找工具(如Cheat Engine)进行查找,也可以通过静态分析游戏代码来寻找。 2. 分析内存中的数据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值