引用:

( D+ l2 m8 G4 g2 @  d  W—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート反外挂的原理
* l. S! q2 O! F6 J3 u" C/ F+ ~妖城在线论坛我感觉与什么模拟键盘鼠标没有关联下面我来介绍一些反外挂方法以及解决方法
+ u, y9 T1 D8 }0 [bbs.mocwww.com主动防御:魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表' }/ _; l  w; i
取得外挂内存特征 进程名称 外挂标题以及外挂的窗口类名外挂向游戏注入DLL的名称外挂对游戏产生的钩子~判断有关游戏用到的系统DLL是否被修改
0 u0 Y, v6 Z5 [5 b) z3 N" Q! d魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表; E$ [5 p% g: n& E# u
NP注入保护法
9 v$ @+ v8 \$ f7 mbbs.mocwww.com魔力私服,最新魔力宝贝私服技术交流* Y5 t, `. ?# e1 N
他的反外挂方式就是向我们每个进程插入一个DLL 用DLL来判断里面的代码是否危及到游戏~
' A3 F' a& Z) J/ h; M—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート
+ }4 @7 q% y7 N$ t8 M8 v8 K解决方法就是向我们自己的外挂安装一个DLLHOOK使他的DLL无法插入我们的进程以得到保护妖城在线论坛* J% l1 X& V, @3 h/ A. [4 d% U
魔力私服,最新魔力宝贝私服技术交流# D/ G/ O$ }9 t2 j; I
标题保护法—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート/ V7 u8 E, \, r( k/ u- L% o

0 z& ^/ `5 L0 w  Sbbs.mocwww.com游戏判断每个窗口的标题是否附带他规定的关键字眼如果带则判断为外挂魔力私服,最新魔力宝贝私服技术交流3 c3 y4 ~7 b! U3 v9 z9 M( C0 j7 ]
bbs.mocwww.com6 }8 {$ q# I8 V1 g+ |  r% q1 y0 X% ^
解决方法就是自定一个算法在外挂每次启动时随机标题
* \; o7 O, D/ q) P魔力私服,最新魔力宝贝私服技术交流
4 @$ ?0 G8 e- L; _0 D5 Gbbs.mocwww.com注入保护法
0 \7 C- _; g) z' u妖城在线论坛—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート7 ~; f; `8 z$ P1 @5 s
游戏判断外挂向游戏注入的进程名称~ 这点没必要去修改名称直接在DLL内隐藏进程既可
: n4 ?! j( J9 d0 F% O妖城在线论坛) d9 o1 g: }6 W  u
类名保护法
5 A1 F! k% s" w9 S
1 A0 M5 l. [0 b& `- F5 J# U/ J魔力私服,最新魔力宝贝私服技术交流现在很多游戏的反外挂已经涉及到对外挂的窗口类名进行判断~例如魔兽就是~只要你的程序窗口类名涉及到他规定的关键字就为外挂不管你是不是 这就是大家常见的没有开外挂也被封
( p0 s% e0 P; l5 {bbs.mocwww.com魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表. o  k1 C% p' U1 E$ `& W/ z
内存特征保护法妖城在线论坛/ f- G% @: }( [7 d

$ b' D, F- L* q游戏的反外挂会取得你的内存特征(就像杀毒软件取得病毒关键代码一样)魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表  V! y" |; e+ E' ?3 U) P
解决方法很多 提升你的进程权限使他无法察看你的外挂内存~ 加花到你的关键内存特征处使游戏判断失误 等等....—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート( x2 @9 W& x& d0 R+ f7 c$ C6 ?
bbs.mocwww.com" N" S, `9 [5 @( ?: I# @0 N  r
进程名称
4 f9 }; O# C, z! ?& V8 s& C妖城在线论坛bbs.mocwww.com) j7 T. ~$ H( j% _2 o  a
这个就很常见了..比如你开起一个名为 "外挂.exe" 那没得说了肯定就封魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表% S) X5 d) s6 h9 M
妖城在线论坛) h( k2 ~% q6 T7 M
解决方法就是将他改位系统进程名称 svchost.exe 或者瑞星 Rising.exe 其他的也可以~(我就用Rising.exe 哈哈—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート% @" a2 u" m& l+ i8 \
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート& h# S2 T; o9 P3 p6 q
系统DLL判断法
& x- X' H0 {3 K) _bbs.mocwww.com魔力私服,最新魔力宝贝私服技术交流6 Y- V$ [$ g- {; s( A7 h$ H
有时候对于游戏的反外挂你要修改系统的一些DLL才可以~~所以游戏就会判断这个DLL是否被修改~从而达到反外挂妖城在线论坛+ F. E; a# x7 k$ E

" K6 x, y2 @4 `: D; `—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート这个我还没有什么解决方法 ~他的判断方式很多 大小 CRC 一系列的9 Z' C( Y( v) d& j. i
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表: s& [: y2 e$ s& ?8 P
魔力私服,最新魔力宝贝私服技术交流& `$ d$ s* s, e9 ?
被动防御:—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート- I& N. t8 |4 }. V7 ?- U
游戏运行时开启APIHOOK 拦截API信息使API执行无效~ 保护游戏内存使其无法被调试或被调试则出错
) r7 L1 O, M8 Jbbs.mocwww.com
, X  v9 o2 S+ R$ t7 wbbs.mocwww.com有关反APIHOOK
7 v9 ~8 e; y7 Q9 R/ C妖城在线论坛
# ~% j; y* l9 @- o! h* k( _魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表魔力私服,最新魔力宝贝私服技术交流' [+ M/ X6 R. p
介绍下如何反APIHOOK的原理与实现。bbs.mocwww.com( l  u; W* i) w. Y! j  e, n, k2 D
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート* ~. ^) y2 z5 l5 S; s
游戏使用了驱动拦截进程的创建，为每个进程都加入一个DLL文件。这个DLL里会对当前进程中大量的关健API进行HOOK处理。一旦发现该进程调用的API有危害及游戏的进程时就会进行过滤处理。原理上与上节的全局钩子+APIHOOK实现的进程保护差不多。
. M+ l9 `% Q/ m魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート  h5 @: _5 O+ ^6 Y2 x
也就是说APIHOOK就是过滤我们对一些特殊的关健API调用。妖城在线论坛, J# Z$ y& L  i1 T% y; G! c
魔力私服,最新魔力宝贝私服技术交流2 Y# H8 E' ]/ J/ K- I
为了能实现反APIHOOK功能，我们有必要对APIHOOK这个实现原理有由了解
* n/ S* ~; }" c  L5 Ibbs.mocwww.combbs.mocwww.com5 s# v7 G! Y; C/ c% e
什么是APIHOOK？
/ n. W4 d  \+ y2 ~& ~8 y* C妖城在线论坛
. o; j: }9 p" o魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表通过某些手段能够控制住目标进程对某些API功能的调用，我们称为APIHOOK
/ W: C% |. B$ e$ _/ Gbbs.mocwww.com
& b; M' W# q$ D# f& s/ ibbs.mocwww.comAPIHOOK有哪些方式？
5 U4 W$ g+ ?# N, H' ~! F- q妖城在线论坛魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表& d$ @7 W9 o3 U
常见的HOOK API调用的实现方式有两种。
) k2 z7 b, X! ?5 ?, Z/ F) H/ t—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート妖城在线论坛; g7 Z# E  d  w  ^; c0 F- d+ T
一种是找到该API在内存的入口地址,修改其入口前八字节数据为了一汇编的 jmp xxxxxxxx 无条件跳转指令，使其调用该API时会跳到指定的另一处函数入口处，即与这个API有着相同的参数与返回值的回调处理程序
/ Y9 h& J. g; W0 ~+ V, U
. i( s. S* a9 d2 X! ]" K魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表+ T$ i6 E3 L. U
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート/ D- E7 k- h  I  ]& M( j: h. N
第二种是在进程的输入表(IAT表)找到保存在这里的要调用的那个API地址，修改这个地址，使程序在输入表里找该API地址时取的是我们修改后的回调程序入口地址。
' H. @" S1 j9 G0 X9 A$ F* L3 o—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート
5 a) V" \) J/ M8 z—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート+ [8 K6 m" s' G; J4 q3 a
bbs.mocwww.com9 Q% j' ^7 [2 ^9 F* q# p/ X
上面的两种方式，其实第二种不必去考滤，因为程序要调用某个API可以不通过输入表。第一种修改入口前八字节才是最重要的，因为只要程序要调用这个API，必然得从它的入口地址进入。—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート: w( [7 j) G7 P5 ]! T0 l% ?$ f

0 |6 k. z( ?: G2 W: Z3 p魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表解决方法妖城在线论坛+ L) O+ q6 k+ i  K. F  J2 n
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート9 B  Z/ _  k$ @5 ?. n( R
在进程创建时就先把一些关健的将要使用的API入口处八字节数据读出保存，然后在每次要调用这些API时，把这原保存的八字节数据都写回去。这样一来，游戏对我们的API入口处拦截就失败了。
/ C) \4 E9 {! a/ T  ~魔力私服,最新魔力宝贝私服技术交流bbs.mocwww.com: H) H* A  f8 ?5 o& c, n
但有一点需要注意的，我们的程序必需得在游戏之前运行才可以。如果游戏以我们之前已经运行了的话，就晚了，那时你保存下来的八字节数据早就被游戏动过手脚了的。而且，对于这种被修改过的数据你保存下来后，若该游戏结束运行了时，你还去恢复API入口并调用这些API的话，会出现非法操作的。魔力私服,最新魔力宝贝私服技术交流) P% F, U, S9 v5 v
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート$ m7 A- J, `9 k; K9 V, j
游戏内存保护法—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート/ c8 N: [# t, J' a$ M9 U

7 m5 [" L3 z# e4 v妖城在线论坛提升进程权限使得外挂无法编辑游戏的内存以达到反外挂
! Y( N* k' v" x7 R, E/ {9 }3 xbbs.mocwww.com妖城在线论坛9 V+ ~7 `9 {% g) P  f* q
或者是你修改了他的内存就报错
; M  j: ?; J% h, i1 s妖城在线论坛
8 Q8 e+ y+ }! P! W魔力私服,最新魔力宝贝私服技术交流这个地解决方法就是利用底层技术(这个我就不详细介绍了,考虑到游戏的平衡)bbs.mocwww.com* q" R4 c+ L  s; Y4 H* C" I