游戏里的攻防-检测与反检测

已于 2023-03-15 12:16:24 修改
阅读量1.6k 收藏 8
点赞数 1
分类专栏: # GameHacker 文章标签: 游戏
于 2022-08-12 10:34:53 首次发布
本文链接:https://blog.csdn.net/weixin_43468491/article/details/126268315
版权
0x0.提出问题
  • 游戏公司通过自己的检测技术检测到我们的注入模块时,我们应该采取什么样的反检测技术进行别人看不到的攻击呢?
    在这里插入图片描述
0x1.检测技术的原理:
  • 能够检测到对应的模块信息,说明这个模块存在于某块内存中,一定有个结构体记录了这些模块信息,那么我们可以尝试去把这个注入模块的信息给删除掉。
0x2.PEB和TEB
PEB(Process Environment Block,进程环境块):存放进程信息的结构体,尺寸非常大
TEB(Thread Environment Block): 该结构体包含进程中运行线程的各种信息,进程中的每个线程都对应着一个TEB结构体

MSDN文档的介绍

typedef struct _PEB {
  BYTE                          Reserved1[2];
  BYTE                          BeingDebugged;
  BYTE                          Reserved2[1];
  PVOID                         Reserved3[2];
  PPEB_LDR_DATA                 Ldr;
  PRTL_USER_PROCESS_PARAMETERS  ProcessParameters;
  PVOID                         Reserved4[3];
  PVOID                         AtlThunkSListPtr;
  PVOID                         Reserved5;
  ULONG                         Reserved6;
  PVOID                         Reserved7;
  ULONG                         Reserved8;
  ULONG                         AtlThunkSListPtr32;
  PVOID                         Reserved9[45];
  BYTE                          Reserved10[96];
  PPS_POST_PROCESS_INIT_ROUTINE PostProcessInitRoutine;
  BYTE                          Reserved11[128];
  PVOID                         Reserved12[1];
  ULONG                         SessionId;
} PEB, *PPEB;

Reserved:

  • 闭源,微软不告诉我们,要我们自己去猜😢🤢
  • 不同操作系统(xp,win7…)下有不同的含义,微软也不知道怎么告诉我们
  • 可以用Windbg打印出来去研究不同操作系统下是什么含义;也可以去参考别人分析好的资料

BeingDebugged: 我们可以利用这个特性来检测有没有被调试的一种检测方案

  • 当我们附加调试器,它会被修改为1
  • 当我们没有附调试器,他会被修改为0

Ldr : 该结构包含有关进程的已加载模块的信息。

typedef struct _PEB_LDR_DATA {
  BYTE       Reserved1[8];
  PVOID      Reserved2[3];
  LIST_ENTRY InMemoryOrderModuleList;
} PEB_LDR_DATA, *PPEB_LDR_DATA;
typedef struct _LIST_ENTRY {
   struct _LIST_ENTRY *Flink;
   struct _LIST_ENTRY *Blink;
} LIST_ENTRY, *PLIST_ENTRY, *RESTRICTED_POINTER PRLIST_ENTRY;
typedef struct _LDR_DATA_TABLE_ENTRY {
    PVOID Reserved1[2];
    LIST_ENTRY InMemoryOrderLinks;
    PVOID Reserved2[2];
    PVOID DllBase;
    PVOID EntryPoint;
    PVOID Reserved3;
    UNICODE_STRING FullDllName;
    BYTE Reserved4[8];
    PVOID Reserved5[3];
    union {
        ULONG CheckSum;
        PVOID Reserved6;
    };
    ULONG TimeDateStamp;
} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;
0x3.攻击方案:把注入模块的节点在PEB结构体中删除掉

提出问题:怎么获取到PEB结构体呢?✔ 答:TEB里面有PEB指针,我们只需要得到TEB就可以了

typedef struct _TEB {
  PVOID Reserved1[12];
  PPEB  ProcessEnvironmentBlock;
  PVOID Reserved2[399];
  BYTE  Reserved3[1952];
  PVOID TlsSlots[64];
  BYTE  Reserved4[8];
  PVOID Reserved5[26];
  PVOID ReservedForOle;
  PVOID Reserved6[4];
  PVOID TlsExpansionSlots;
} TEB, *PTEB;

提出问题:怎么得到TEB结构体呢?答:它放在了FS段寄存器里面,我们通过访问它就可以得到TEB

#include <Windows.h>
#include <winternl.h>
int main() {
	PPEB peb;
	_asm {
		mov eax, fs:[0x30];
		mov peb, eax;
	}
}

设计程序验证我们的想法:
在这里插入图片描述

0x4 利用PEB模块获取进程模块信息

在这里插入图片描述

在这里插入图片描述

0x30.如果LDR_DATA_TABLE_ENTRY结构体发生了变化,那么这个程序就不能够正常使用了;
0x31.为了提高程序的兼容性,我们需要把0x8替换成动态的

int structDis = (int)&lDis->InMemoryOrderLinks;

当我们通过自己的猜测各种手段得到结构体里面的属性代表的含义,可以自己声明一个结构体类型🎂

typedef struct _LDR_DATA_TABLE_ENTRYA {
	PVOID Reserved1[2];
	LIST_ENTRY InMemoryOrderLinks;
	PVOID Reserved2[2];
	PVOID DllBase;
	PVOID EntryPoint;
	PVOID ImageSize;//
	UNICODE_STRING FullDllName;
	BYTE Reserved4[8];
	PVOID Reserved5[3];
#pragma warning(push)
#pragma warning(disable: 4201) // we'll always use the Microsoft compiler
	union {
		ULONG CheckSum;
		PVOID Reserved6;
	} DUMMYUNIONNAME;
#pragma warning(pop)
	ULONG TimeDateStamp;
} LDR_DATA_TABLE_ENTRYA, * PLDR_DATA_TABLE_ENTRYA;
0x5 隐藏对应的模块:通过删除节点,但是通过实证发现并没有被隐藏,为什么呢?

在这里插入图片描述
通过Windbg的调试打印和逆向分析, 填充了微软官方文档实际的结构体不一致的地方,从而实现了模块的隐藏
在这里插入图片描述

二.通过PE特征的角度去定位注入模块

通过CE或者自己写代码搜索

在这里插入图片描述

去除PE特征

通过pchunter64去搜索进程模块

无痕注入:
1.在驱动层驱动干掉
2.在应用层驱动层干掉

总结:网络攻防无止境的,最终一定是技术强的人获胜

小鸡岛~
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
手把手教你使用sql注入来绕过游戏后台检测
网易搬砖选手
07-09 748
SQL注入毫无疑问是最危险的Web漏洞之一,因为我们将所有信息都存储在数据库中。其解决方案之一,有许多公司实施Web应用程序火墙和入侵检测/预系统来试图保护自己。但不幸的是,这些对策往...
游戏检测之易语言DLL内存注入技术
热门推荐
hzw320的博客
02-23 2万+
DLL注入,除了线程注入,消息钩子注入,输入法注入外,还有一种就是内存注入 那么什么是内存注入呢? 内存注入就是指内存中加载并且执行DLL文件,这样的注入方式好处有以下几点: 1.不需要把DLL文件暴露在出来(止别人拿着你的DLL文件改装成自己的程序或者破解) 内存DLL不需要写出到硬盘上即可使用.只要用易语言编译出来DLL后,加入到图片资源中,即可直接在内存用运行使用. 2.安全性高,注入到对...
_LDR_DATA_TABLE_ENTRY结构体
weixin_41693985的博客
12-22 897
_LDR_DATA_TABLE_ENTRY结构体
抗艾程序员龚伦强谈:输入法注入原理及护方法
最新发布
湖北抗艾程序员龚伦强
04-29 211
输入法注入攻击的原理是利用了输入法程序在操作系统中的特权地位。输入法程序通常需要获取用户的键盘输入,并将其转化为文字显示在屏幕上。攻击者通过修改输入法程序的代码,使其在获取用户输入时同时执行恶意代码。这样一来,用户输入的内容就会被恶意代码截获并发送给攻击者。输入法注入是一种恶意攻击技术,它利用了操作系统中的输入法功能来实施攻击。在输入法注入攻击中,攻击者会通过修改或者替换合法的输入法程序,使其在用户输入时执行恶意代码。这样一来,攻击者就可以获取用户的敏感信息,如密码、银行账号等。
绕开驱动层检测的无痕注入
陈子青的博客
07-18 1385
搜了标题相关的文章既然没有?想要源码可私信~~~
驱动无模块注入dll
鬼手的博客
12-10 9199
Windows驱动无模块注入姿势全解 包含三环和零环的多种注入方式
无痕驱动读写注入EAC BE
qq_20077197的博客
05-13 5597
无痕驱动读写注入
游戏多开 的技术攻防研究
10-13
游戏多开技术攻防研究主要探讨了游戏厂商如何止玩家使用多开工具在同一设备上运行多个游戏实例,以及黑客如何突破这些限制。这一领域的攻防技术涉及到互斥机制、进程间通信、以及识别和伪造机器ID等多个方面。 ...
游戏外挂攻防艺术文档加代码
01-13
2. **调试技术**:检测止调试器的使用,使外挂开发者难以对游戏进程进行实时分析。 3. **安全的网络通信**:采用加密传输协议,止数据包被截获或篡改,确保游戏服务器与客户端之间的通信安全。 4. **...
游戏攻防艺术 扫描版
11-06
游戏攻防艺术中,C++的底层控制能力对于设计高效的游戏逻辑和外挂机制至关重要。通过熟练掌握C++,开发者能够更好地理解游戏的运行机制,从而更有效地实施护措施。 外挂,即游戏作弊软件,通常通过修改游戏...
Rookit攻防机制与实现方法
11-06
总的来说,Rootkit攻防是一场持续的猫鼠游戏,攻击者不断改进其隐藏和控制技术,而御者则需不断提升检测御能力。网络安全领域的专业人士需要持续关注Rootkit的新动态,研究新的检测和预方法,以保护网络系统...
驱动级进程保护 隐藏 注入
08-04
驱动级进程保护 隐藏 注入 W7 W8 W10 32 64位都支持 不蓝屏
驱动注入,驱动注入工具,C,C++
09-10
驱动注入器源码 驱动级注入 支持win10 win7 32位64位
内存注入dll 无痕迹
08-22
内存中 注入dll 需要黑月编译 任何32位进程
[安全攻防进阶篇] 三.OllyDbg和Cheat Engine工具逆向分析植物大战僵尸游戏1
08-03
使用OllyDbg,可以通过单步执行、设置断点、查看指令等方式找出负责检测阳光和拾取操作的代码段,然后修改代码逻辑,使得游戏每次检测到阳光时自动拾取,无需玩家手动操作。 4. **逆向分析基础知识**: 文章提到了...
游戏逆向】浅谈某平台调试软件检测分析
douluo998的博客
02-06 722
这样一来简单的结束线程这个方法就行不通了,那么思考下有没有别的方法能够绕过检测,由于这个游戏的他HOOK了很多API,而这些API的地址都是不连续的,他要检测其中的一个地址,不可能每次检测都获取一下,所以这些挂钩的地址很可能保存在某个全局变量中,基于这点我们尝试搜索DbgUiRemoteBreakin的地址,搜索到了一个地址。我们找个空白地址,因为他只修改了函数头部的前7个字节,所以检测时也应该是检测这个7个字节,我们把他修改后的这个7个字节写入空白地址,然后将我们搜索到的地址的值替换成空白地址。
win10 x64逆向某游戏线程检测(一)
weixin_41725706的博客
12-01 1150
x64逆向分析
游戏逆向】探索可靠的线程检查方法
douluo998的博客
07-02 1014
熟悉了外挂和木马的对抗手段,我们可以看出,如果仅对线程的代码,或者线程句柄进行检查,都将是不可靠的,我们需要有一种办法,让线程活动即对线程检查数据进行更新(对抗木马的手段4和5),如果发现线程长时间不活动,或者线程活动但是每没有更新线程检查数据,则可以判断这个线程有问题了。这种检查方法也是在对抗过程中进化出来的,当然现在它很可能继续被对抗,总之,在线程的对抗、御和检查中,这样的思路是贯穿始终的,也就是对线程的代码、活动性同时进行多线程交叉检查,让一个线程不正常工作,其他线程全罢工。
无痕注入dll_R0级驱动注入与隐藏注入dll
weixin_39856803的博客
12-19 2044
' ,sX95r:.' s&@@@@@@@@@@@@@G;' i@@@@@@@@@@@@@@@@@@@&,' r@@@@@@@@@@...
攻防世界---Web---新手模式---backup
11-11
题目描述:在攻防世界的Web新手模式中,有一道名为backup的题目。该题目要求找到备份文件并获取flag。可以通过访问http://your-ip/backup/来查看备份文件,但是需要密码才能访问。我们可以通过查看网页源代码或者使用Burp Suite等工具来获取到密码。获取到密码后,我们可以访问备份文件,查看其中的内容,找到flag。 以下是获取密码和查看备份文件的Python代码: ```python import requests # 访问网页获取密码 url = 'http://your-ip/backup/' response = requests.get(url) password = response.text.split('password is ')[1].split('<')[0] # 访问备份文件获取flag url = 'http://your-ip/backup/flag.php' response = requests.get(url, auth=('admin', password)) flag = response.text print(flag) ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值