游戏里的攻防-检测与反检测

已于 2023-03-15 12:16:24 修改
阅读量1.6k 收藏 8
点赞数 1
分类专栏: # GameHacker 文章标签: 游戏
于 2022-08-12 10:34:53 首次发布
本文链接:https://blog.csdn.net/weixin_43468491/article/details/126268315
版权
0x0.提出问题
  • 游戏公司通过自己的检测技术检测到我们的注入模块时,我们应该采取什么样的反检测技术进行别人看不到的攻击呢?
    在这里插入图片描述
0x1.检测技术的原理:
  • 能够检测到对应的模块信息,说明这个模块存在于某块内存中,一定有个结构体记录了这些模块信息,那么我们可以尝试去把这个注入模块的信息给删除掉。
0x2.PEB和TEB
PEB(Process Environment Block,进程环境块):存放进程信息的结构体,尺寸非常大
TEB(Thread Environment Block): 该结构体包含进程中运行线程的各种信息,进程中的每个线程都对应着一个TEB结构体

MSDN文档的介绍

typedef struct _PEB {
  BYTE                          Reserved1[2];
  BYTE                          BeingDebugged;
  BYTE                          Reserved2[1];
  PVOID                         Reserved3[2];
  PPEB_LDR_DATA                 Ldr;
  PRTL_USER_PROCESS_PARAMETERS  ProcessParameters;
  PVOID                         Reserved4[3];
  PVOID                         AtlThunkSListPtr;
  PVOID                         Reserved5;
  ULONG                         Reserved6;
  PVOID                         Reserved7;
  ULONG                         Reserved8;
  ULONG                         AtlThunkSListPtr32;
  PVOID                         Reserved9[45];
  BYTE                          Reserved10[96];
  PPS_POST_PROCESS_INIT_ROUTINE PostProcessInitRoutine;
  BYTE                          Reserved11[128];
  PVOID                         Reserved12[1];
  ULONG                         SessionId;
} PEB, *PPEB;

Reserved:

  • 闭源,微软不告诉我们,要我们自己去猜😢🤢
  • 不同操作系统(xp,win7…)下有不同的含义,微软也不知道怎么告诉我们
  • 可以用Windbg打印出来去研究不同操作系统下是什么含义;也可以去参考别人分析好的资料

BeingDebugged: 我们可以利用这个特性来检测有没有被调试的一种检测方案

  • 当我们附加调试器,它会被修改为1
  • 当我们没有附调试器,他会被修改为0

Ldr : 该结构包含有关进程的已加载模块的信息。

typedef struct _PEB_LDR_DATA {
  BYTE       Reserved1[8];
  PVOID      Reserved2[3];
  LIST_ENTRY InMemoryOrderModuleList;
} PEB_LDR_DATA, *PPEB_LDR_DATA;
typedef struct _LIST_ENTRY {
   struct _LIST_ENTRY *Flink;
   struct _LIST_ENTRY *Blink;
} LIST_ENTRY, *PLIST_ENTRY, *RESTRICTED_POINTER PRLIST_ENTRY;
typedef struct _LDR_DATA_TABLE_ENTRY {
    PVOID Reserved1[2];
    LIST_ENTRY InMemoryOrderLinks;
    PVOID Reserved2[2];
    PVOID DllBase;
    PVOID EntryPoint;
    PVOID Reserved3;
    UNICODE_STRING FullDllName;
    BYTE Reserved4[8];
    PVOID Reserved5[3];
    union {
        ULONG CheckSum;
        PVOID Reserved6;
    };
    ULONG TimeDateStamp;
} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;
0x3.攻击方案:把注入模块的节点在PEB结构体中删除掉

提出问题:怎么获取到PEB结构体呢?✔ 答:TEB里面有PEB指针,我们只需要得到TEB就可以了

typedef struct _TEB {
  PVOID Reserved1[12];
  PPEB  ProcessEnvironmentBlock;
  PVOID Reserved2[399];
  BYTE  Reserved3[1952];
  PVOID TlsSlots[64];
  BYTE  Reserved4[8];
  PVOID Reserved5[26];
  PVOID ReservedForOle;
  PVOID Reserved6[4];
  PVOID TlsExpansionSlots;
} TEB, *PTEB;

提出问题:怎么得到TEB结构体呢?答:它放在了FS段寄存器里面,我们通过访问它就可以得到TEB

#include <Windows.h>
#include <winternl.h>
int main() {
	PPEB peb;
	_asm {
		mov eax, fs:[0x30];
		mov peb, eax;
	}
}

设计程序验证我们的想法:
在这里插入图片描述

0x4 利用PEB模块获取进程模块信息

在这里插入图片描述

在这里插入图片描述

0x30.如果LDR_DATA_TABLE_ENTRY结构体发生了变化,那么这个程序就不能够正常使用了;
0x31.为了提高程序的兼容性,我们需要把0x8替换成动态的

int structDis = (int)&lDis->InMemoryOrderLinks;

当我们通过自己的猜测各种手段得到结构体里面的属性代表的含义,可以自己声明一个结构体类型🎂

typedef struct _LDR_DATA_TABLE_ENTRYA {
	PVOID Reserved1[2];
	LIST_ENTRY InMemoryOrderLinks;
	PVOID Reserved2[2];
	PVOID DllBase;
	PVOID EntryPoint;
	PVOID ImageSize;//
	UNICODE_STRING FullDllName;
	BYTE Reserved4[8];
	PVOID Reserved5[3];
#pragma warning(push)
#pragma warning(disable: 4201) // we'll always use the Microsoft compiler
	union {
		ULONG CheckSum;
		PVOID Reserved6;
	} DUMMYUNIONNAME;
#pragma warning(pop)
	ULONG TimeDateStamp;
} LDR_DATA_TABLE_ENTRYA, * PLDR_DATA_TABLE_ENTRYA;
0x5 隐藏对应的模块:通过删除节点,但是通过实证发现并没有被隐藏,为什么呢?

在这里插入图片描述
通过Windbg的调试打印和逆向分析, 填充了微软官方文档实际的结构体不一致的地方,从而实现了模块的隐藏
在这里插入图片描述

二.通过PE特征的角度去定位注入模块

通过CE或者自己写代码搜索

在这里插入图片描述

去除PE特征

通过pchunter64去搜索进程模块

无痕注入:
1.在驱动层驱动干掉
2.在应用层驱动层干掉

总结:网络攻防无止境的,最终一定是技术强的人获胜

小鸡岛~
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
手把手教你使用sql注入来绕过游戏后台检测
网易搬砖选手
07-09 752
SQL注入毫无疑问是最危险的Web漏洞之一,因为我们将所有信息都存储在数据库中。其解决方案之一,有许多公司实施Web应用程序火墙和入侵检测/预系统来试图保护自己。但不幸的是,这些对策往...
电脑硬件检测_最全十大游戏检测方法,轻松解决LOL掉帧问题。
weixin_39828102的博客
10-24 4950
最近,还是有很多驱动人生用户就玩LOL遇到的问题来咨询驱动哥。掉帧、卡顿、闪退、黑屏等等其实这种问题不单单是和驱动有关,还和电脑的整体运行状况有关,而运行状态的好坏则可以用各种软件测定参数来判断。所以,今天驱动哥就教大家如何从多个维度来确定自己电脑玩LOLO卡的根本原因。找到原因,大家就可以对症下药啦!检测一:驱动人生7——驱动体检结果图大家可以去驱动人生官网【160.com】下载最新的...
游戏检测之易语言DLL内存注入技术
热门推荐
hzw320的博客
02-23 2万+
DLL注入,除了线程注入,消息钩子注入,输入法注入外,还有一种就是内存注入 那么什么是内存注入呢? 内存注入就是指内存中加载并且执行DLL文件,这样的注入方式好处有以下几点: 1.不需要把DLL文件暴露在出来(止别人拿着你的DLL文件改装成自己的程序或者破解) 内存DLL不需要写出到硬盘上即可使用.只要用易语言编译出来DLL后,加入到图片资源中,即可直接在内存用运行使用. 2.安全性高,注入到对...
PC游戏运行库检测工具
02-12
这是一个检测电脑的游戏环境的一个PC软件。有了这个检测工具你就知道电脑还差什么游戏环境没安装了~
抗艾程序员龚伦强谈:输入法注入原理及护方法
最新发布
湖北抗艾程序员龚伦强
04-29 215
输入法注入攻击的原理是利用了输入法程序在操作系统中的特权地位。输入法程序通常需要获取用户的键盘输入,并将其转化为文字显示在屏幕上。攻击者通过修改输入法程序的代码,使其在获取用户输入时同时执行恶意代码。这样一来,用户输入的内容就会被恶意代码截获并发送给攻击者。输入法注入是一种恶意攻击技术,它利用了操作系统中的输入法功能来实施攻击。在输入法注入攻击中,攻击者会通过修改或者替换合法的输入法程序,使其在用户输入时执行恶意代码。这样一来,攻击者就可以获取用户的敏感信息,如密码、银行账号等。
DLL注入封包工具过检测
08-27
各类游戏DLL封包注入软件 自带DLL。只需注入代理或加速器 无需注入游戏
游戏检测的对抗与护艺术
鬼手的博客
04-11 4926
文章目录前言通过send函数定位吃药call变量检测构造检测程序处理变量检测call的检测原理查找检测变量变量检测处理堆栈检测堆栈检测原理 基于本地堆栈检测原理 基于服务器处理一层堆栈检测处理多层堆栈检测CRC检测什么是CRC检测构造CRC检测处理CRC检测数据检测数据检测原理构造检测程序数据检测处理总结 前言 从游戏外挂的利用角度来看,外挂的行为无非有如下两种: 修改游戏的关键数据和代码:属于...
游戏多开 的技术攻防研究
10-13
游戏多开技术攻防研究主要探讨了游戏厂商如何止玩家使用多开工具在同一设备上运行多个游戏实例,以及黑客如何突破这些限制。这一领域的攻防技术涉及到互斥机制、进程间通信、以及识别和伪造机器ID等多个方面。 ...
游戏外挂攻防艺术文档加代码
01-13
2. **调试技术**:检测止调试器的使用,使外挂开发者难以对游戏进程进行实时分析。 3. **安全的网络通信**:采用加密传输协议,止数据包被截获或篡改,确保游戏服务器与客户端之间的通信安全。 4. **...
游戏攻防艺术 扫描版
11-06
游戏攻防艺术中,C++的底层控制能力对于设计高效的游戏逻辑和外挂机制至关重要。通过熟练掌握C++,开发者能够更好地理解游戏的运行机制,从而更有效地实施护措施。 外挂,即游戏作弊软件,通常通过修改游戏...
Rookit攻防机制与实现方法
11-06
总的来说,Rootkit攻防是一场持续的猫鼠游戏,攻击者不断改进其隐藏和控制技术,而御者则需不断提升检测御能力。网络安全领域的专业人士需要持续关注Rootkit的新动态,研究新的检测和预方法,以保护网络系统...
离线驱动注入
06-18
这是一个更换不同芯片组主板不用得装系统的软件,可以在PE下运行。
hook以驱动方式注入内核源代码
01-19
C语言写的ROOT记录器,编译通过了.#include "stdafx.h" #include "ScanCode.h" #include "DriverEntry.h" #include <stdarg.h> const WCHAR *DEVICE_NAME = L"\\Device\\MonkeyKingDeviceName"; const WCHAR *SYMOBL_NAME = L"\\??\\MonkeyKingSymbolicName"; const char *NT_DEVICE_NAME = "\\Device\\KeyboardClass0"; const char *LOG_FILE_NAME = "\\DosDevices\\c:\\MonkeyKing.txt"; int numPendingIrps = 0; /*---------------------------------------------------------------------------------------------------------------------------------------------*/ /************************************************************************ * 函数名称:DriverEntry * 功能描述:初始化驱动程序,定位和申请硬件资源,创建内核对象 * 参数列表: pDriverObject:从I/O管理器中传进来的驱动对象 pRegistryPath:驱动程序在注册表的中的路径 * 返回 值:返回初始化驱动状态 *************************************************************************/ STDAPI_(NTSTATUS) DriverEntry( IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegistryPath ) { NTSTATUS retValue = STATUS_SUCCESS; TRACEMSG("初始化例程..."); pDriverObject->DriverUnload = OnUnload; for (INT32 i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++){ pDriverObject->MajorFunction[i] = DispatchHandler; } pDriverObject->MajorFunction[IRP_MJ_READ] = DispatchRead; TRACEMSG("初始化例程...完成"); //创建设备。 TRACEMSG("创建设备..."); PDEVICE_OBJECT pKeyboardDevice = NULL; if (!NT_SUCCESS(retValue = CreateDevice(pDriverObject, &pKeyboardDevice))) { TRACEMSG("创建设备...失败"); return retValue; } TRACEMSG("创建设备...完成。键盘设备对象指针为:0x%x", pKeyboardDevice); //挂接设备。 TRACEMSG("挂接设备..."); if (!NT_SUCCESS(retValue = HookKeyboard(pKeyboardDevice))) { TRACEMSG("挂接设备...失败"); return retValue; } TRACEMSG("挂接设备...完成"); TRACEMSG("初始化线程..."); if (!NT_SUCCESS(retValue = InitThreadLogger(pDriverObject))) { TRACEMSG("初始化线程...失败"); return retValue; } TRACEMSG("初始化线程...完成");
无比强大的木马检测小工具进程查看器 PCHunter1.55版
08-21
PCHunter1.55版 非常强大的查看电脑信息软件 它可以查看进程、驱动模块、内核、内核钩子、应用层钩子、网络、注册表、文件、启动信息、系统杂项、电脑体检、配置等诸多信息;并且该软件还支持大部分的windows系统。 如果您对window系统不太熟悉,请不要使用本软件胡乱操作。 基于以下原因,由本软件直接或者间接导致的问题,本公司概不负责: 1.由于本工具大量使用Windows内核技术,尤其是为了做一些检测而使用了些Windows未公开的内核数据结构,虽然我们一直尽力避免或减小这给本软件可能带来的稳定性上的影响,但我们无法保证这对本软件稳定性绝对没有影响。 2.在本软件完工后,虽然我们做了大量的稳定性、兼容性的测试,但还是难免有疏忽的地方。 本软件免费版本(标准版本)请勿用于商业用途。如要用于商业用途,请购买专业版本。
[安全攻防进阶篇] 三.OllyDbg和Cheat Engine工具逆向分析植物大战僵尸游戏1
08-03
使用OllyDbg,可以通过单步执行、设置断点、查看指令等方式找出负责检测阳光和拾取操作的代码段,然后修改代码逻辑,使得游戏每次检测到阳光时自动拾取,无需玩家手动操作。 4. **逆向分析基础知识**: 文章提到了...
坐标算c语言程序,C/C++ ShellCode伪装的程序 逆向与检测
weixin_30336531的博客
05-16 353
本帖最后由 Patty 于 2020-5-19 18:03 编辑语言:C/C++工具:VS2017,PEID,IDA,OD,CE,随边1个exe程序知识:Win32消息机制,PE结构,ShellCode编程技术,调试技术,IO驱动进程读写技术------------------------------------------------------------------------------一...
易编远航程序检测方法
m0_54861649的博客
08-11 784
第一章(步伐) 1.封的知识与根本要素----------媒介-通例知识解说 2.游戏的两种检测方法-------------媒介-通例知识解说 课程目次: 3.步伐设置修正与常见误区阐明 4.exe文件的常见掩护与加密.avi 5.EXE步伐历程名(后缀)修正 6.游戏窗口设计-题目-笔墨范例 7.掩护盾功效作用详解 8.前台与背景模式详解 9.鼠键设置大揭秘 10.延时的紧张性 11.致命性的无脑按...
【杂谈】一种C#作弊检测手段
东方怂天的博客
06-29 1038
前言 最近在编译Unity游戏的时候,遇到了需要增加作弊机制的要求。一开始利用网上的Process进程读取去操作,经过多番尝试,发现类似于Cheat Engine和变速精灵这类型的进程,居然查找不到Process的Name,同时据网上所说的读取Handle方法,我分别测试了C#(其实使用Unity实现的,但是本质还是C#)的Handle结合User32.dll来读取Handle,但是很遗憾,通过读取Handle,我依然无法找到标题的名称,因此我便换用了下述方法。 当然,完全可能是因为我本人对于语言的了解
win10隐藏进程检测_游戏玩家抓狂!教你解决Win10驱动升级Bug
weixin_34445112的博客
01-15 6446
[PConline 应用]相信很多游戏玩家都遇到过Win10自动升级驱动的相关问题,最常见的,可能就是Windows Update无法安装上驱动了。不少玩家都会自行安装最新的显卡驱动,运行一切正常,然而就遭不住Windows Update的疯狂报错,就如下图。安装了最新的驱动后,Win10推送老驱动却装不上,报错信息挥之不去为什么会这样子呢?这和Windows Update的机制有关。Window...
局域网安全攻防深度检测与智能管理系统
局域网安全的攻防测试与分析研究着重于当今计算机网络环境中日益凸显的网络安全问题,尤其是在局域网(LAN)内的安全护。LAN,作为本地范围内的计算机网络,通常局限于同一办公空间、建筑物或公司内部,其功能强大...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值