win10 x64逆向某游戏线程检测(二)

最新推荐文章于 2023-07-02 20:51:14 发布
最新推荐文章于 2023-07-02 20:51:14 发布
阅读量677 收藏 3
点赞数 1
文章标签: 游戏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41725706/article/details/128142483
版权

x64逆向某游戏线程检测 (二)

申明

以下是我对某个游戏的检测线程比较感兴趣进行一定分析,切勿用于非法行为,所产生后果自行承担,本人不负任何责任。

继续追上次函数

	//mov rax,[rsi]  //rsi指向一个类
		//lea rdx,[rsp+38] //取的是te32堆栈地址 得到线程的相关信息
		//mov rcx,rsi   //把rsi的地址传给rcx
		//	call [rax]  //rax是一个函数地址值
		//这个函数传了二个值 第一个是rsi指向类的值,第二个传的是te32
		//做一些线程特征等检测

上次要逆向这个函数里面内容

定位逆向汇编代码

	//mov rax,[rsi]  //rsi指向一个类
		//lea rdx,[rsp+38] //取的是te32堆栈地址 得到线程的相关信息
		//mov rcx,rsi   //把rsi的地址传给rcx
		//	call [rax]  //rax是一个函数地址值
		//这个函数传了二个值 第一个是rsi指向类的值,第二个传的是te32
		//做一些线程特征等检测

进入到这个call里面
call [rax] 函数内容为:
在这里插入图片描述
mov eax,1040
call 1C31D481000函数内容为:
在这里插入图片描述

这是检测堆栈是否超界。GS:[10]—>TEB: 0x10 StackLimit;

总结

第一个图是对整个线程的一个检测,分析了call 1C31D481000 下一个分析CALL qword ptr ds: [RAX+10]这个函数里面做了什么?

weixin_41725706
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
易语言反游戏检测call-游戏Call技术-(绑定主线程调用CALL技术)
weixin_hhdebug的博客
05-28 4416
我们在写call调用网络游戏进程里call时候,经常外挂辅助程序运行工作一段时间后,网络游戏就会断线或崩溃掉,但是经过检查, 发现自己调用CALL的代码又没发现写错误,这到底是怎么呢?{:100_162:} 其实这些是现在网络游戏的一些网络游戏反外挂辅助程序检测导致的,并不是我们调用call的代码没写对, 现在的网络游戏调用自己网络游戏进程里的各种CALL,都是网络游戏自己的主线程来执行的,如果不是网络游戏的主线程调用CALL, 就会奔溃或网络游戏掉线, 所以我们的外挂辅助程序程序都是在网络游戏进程里创建
4.8 x64dbg 学会扫描应用堆栈
最新发布
CSDN
07-10 4561
LyScript 插件中提供了针对堆栈的操作函数,对于堆的开辟与释放通常可使用`create_alloc()`及`delete_alloc()`在之前的文章中我们已经使用了堆创建函数,本章我们将重点学习针对栈的操作函数,栈操作函数有三种,其中`push_stack`用于入栈,`pop_stack`用于出栈,而最有用的还属`peek_stack`函数,该函数可用于检查指定堆栈位置处的内存参数,利用这个特性就可以实现,对堆栈地址的检测,或对堆栈的扫描等。
win10 x64逆向游戏线程检测(一)
weixin_41725706的博客
12-01 1169
x64逆向分析
游戏系统线程线程池的重要性
arzzsc1461的博客
12-05 137
我们知道毫无节制地申请内存和释放内存,必定会导致系统内存碎片剧烈地增加,最直接导致的后果是系统内存资源枯竭,游戏状态越来越慢,各种反应不及时,各种未知错误层出不穷! 直到现在,我发现游戏变慢,很多人都归结为客户端的问题,其实啊,更多的问题出在服务端上面。当然还有一部分原因在于逻辑的不合理。客户端和服务端是通过消息机制进行通讯的。说白了,就是通过各种命令运行游戏的。 ...
游戏逆向】探索可靠的线程检查方法
douluo998的博客
07-02 1029
熟悉了外挂和木马的对抗手段,我们可以看出,如果仅对线程的代码,或者线程句柄进行检查,都将是不可靠的,我们需要有一种办法,让线程活动即对线程检查数据进行更新(对抗木马的手段4和5),如果发现线程长时间不活动,或者线程活动但是每没有更新线程检查数据,则可以判断这个线程有问题了。这种检查方法也是在对抗过程中进化出来的,当然现在它很可能继续被对抗,总之,在线程的对抗、防御和检查中,这样的思路是贯穿始终的,也就是对线程的代码、活动性同时进行多线程交叉检查,让一个线程不正常工作,其他线程全罢工。
std::thread joinable()用于检测线程是否有效
bobbypeng的专栏
08-24 1万+
std::thread joinable()函数,用于检测线程是否有效。 joinable : 代表该线程是可执行线程。 not-joinable :通常一下几种情况会导致线程成为not-joinable 1) 由thread的缺省构造函数构造而成(thread()没有参数)。 2) 该thread被move过(包括move构造和move赋值) 3) 该线...
win10可用x64进程替换代码
05-17
标题提到的"win10可用x64进程替换代码"是关于在64位Windows 10操作系统中实施这一技术的实例,特别强调了它针对的是64位(x64)进程,而不是传统的32位(x86)进程。 通常,32位进程替换技术在很多病毒和木马中被...
在Win7x64下隐藏进程和保护进程
11-10
在Windows 7 x64操作系统环境下,隐藏进程和保护进程是一项高级技术,通常涉及系统底层编程和安全领域。本文将详细解析这一主题,包括隐藏进程的技术手段和保护进程的策略,以便于理解并掌握相关知识。 首先,让...
Win32调试API原理
04-08
Win32调试API是Windows操作系统提供的一系列接口,用于实现对进程和线程的高级调试功能。这些API允许开发者创建自己的调试工具,类似于Visual C++调试器、WinDBG或OllyDbg。通过Win32调试API,开发者可以监控和控制...
win32调试.pdf
10-14
例如,可以构建一个轻量级的调试器,用于特定目的,如性能分析、内存泄漏检测或者逆向工程。同时,调试API也常用于安全研究,帮助找出软件中的漏洞和恶意行为。 值得注意的是,使用Win32调试API需要对操作系统内部...
VEH+硬件断点实现无痕HOOK
09-24
这种技术常用于软件调试、逆向工程、安全检测等领域。 【VEH( Vectored Exception Handling)】是Windows操作系统提供的一种异常处理机制。当程序发生异常时,VEH会按照注册的异常处理程序顺序来调用这些处理函数...
线程调用过环境检查以及防止游戏崩溃
l198738655的博客
03-20 4716
      先给大家说两种情况,也许这些情况都是你遇见过的。  案例一,逆向软件,调试游戏找到了某个CALL,我们编写DLL,把这个call写入到DLL中,然后把DLL注入到软件内部,对这个CALL进行调用,发生游戏直接崩溃报错的情况。  又或则直接用代码注入器编写内联汇编直接注入代码导致崩溃。(有的时候代码注入器不会出问题,因为他是进程挂靠的方式 优于DLL中非主线程调用的方式)  案例,编写...
【Unity教程】游戏系统主线程控制--快速精确查找子物体
BuladeMian的博客,菜得抠脚,菜得真实
01-04 1110
本篇文章实现了:test1脚本为Unity游戏控制管理的主线程,test2脚本是子物体的脚本 当游戏程序大量生成物体的时候,使用Find函数,或者是FindWithTag函数,大量查找的时候, 效率会变慢,那么直接把test2的物体告诉test1物体,就可以快速查找到子物体,并在test1中调用test2脚本物体的函数 当设置一个bool布尔变量控制这个物体,就可以实现快速精确查找
汇编x86x64游戏内存封包实战注入脚本lua辅助开发反调试过检测
zygx8的博客
02-26 622
游戏逆向】浅谈某平台调试软件检测分析
douluo998的博客
02-06 731
这样一来简单的结束线程这个方法就行不通了,那么思考下有没有别的方法能够绕过检测,由于这个游戏的他HOOK了很多API,而这些API的地址都是不连续的,他要检测其中的一个地址,不可能每次检测都获取一下,所以这些挂钩的地址很可能保存在某个全局变量中,基于这点我们尝试搜索DbgUiRemoteBreakin的地址,搜索到了一个地址。我们找个空白地址,因为他只修改了函数头部的前7个字节,所以检测时也应该是检测这个7个字节,我们把他修改后的这个7个字节写入空白地址,然后将我们搜索到的地址的值替换成空白地址。
游戏里的攻防-检测与反检测
记录生命的轨迹
08-12 1650
游戏爱好者
游戏逆向】FPS游戏自瞄透视之堆栈分析
douluo998的博客
02-05 1046
如果不拿血量当突破口,先去扫描坐标 ,由于游戏没有显示坐标,未知值去扫,会有很多结果,很难筛选,最后会很有很多类似的结果,确定用哪一个也是一件比较累的事情。追就可以了,我们现在所在的位置相当于调用的较内层,而通过这样的方法我们就直接来到了程序最先用该数值的地方,绕过了中间追寄存器的过程。我们想做FPS游戏的自瞄透视功能,最基础的数据就是周围所有目标的坐标值只有确定了所有目标的位置,我们才能用算法写出自瞄和透视。有的我们可以先去尝试 堆栈中是否出现过 该数值,如果出现过,我们直接到最先出现的位置继续。
LyScript 实现对内存堆栈扫描
热门推荐
CSDN
08-03 1万+
LyScript插件提供了三种基本的堆栈操作方法:push_stack用于入栈,pop_stack用于出栈,peek_stack用于检查指定堆栈位置处的内存参数。其中,peek_stack函数可以输出堆栈中指定位置的十进制有符号长整数。为了进行堆栈扫描或堆栈地址的检测,我们需要进行有符号与无符号数之间的转换操作。
x86对抗栈回溯检测
liuhaidon1992的博客
01-10 880
1.原理函数调用 CALL 指令可拆分为两步操作: 1)、将调用者的下一条指令(EIP)的地址压栈 2)、跳转至将要调用的函数地址中(相对偏移或绝对地址) 那么在执行到子函数首地址位置时,返回地址(即调用函数中调用位置下一条指令的地址)就已经存在于堆栈中了,并且是 ESP 指向地址的值。下面通过栈帧的概念,了解编译器在接下来对堆栈进行的操作。 简言之,栈帧就是利用 EBP(栈帧指针,请注意不是 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值