应用层反WG技术研究
来源:互联网 发布:k歌软件电视 编辑:程序博客网 时间:2024/04/30 16:06
此技术不算原创,但算是整理,详解
话说神秘人物v校,73%可能性为女性。此技术是从他那里学来的。
此人说话言简意赅,需要耐心体会。
外挂,与反外挂,是矛与盾的关系,要想做好反外挂,必须了解矛的构成,以及盾的技术,才能制造出一个较好的盾。
纵观当前反外挂形势,就像是世界大战,各种驱动满天横飞。战火连天,一发生战争,最受伤的是老百姓,一但用到驱动去反外挂,最受伤的是用户
bs驱动反外挂技术,我很欣赏应用层反外挂技术,稳定,优雅,不会伤及无辜。
下面讲讲应用层反外挂技术。
某日,突然想起应用层反外挂技术,自己不得其解,跑去问v校,
问:"应用层反外挂,有什么好点子没有,因为今天 x64大行其道 ,弄驱动,已不合时宜了?"
答:"Dllmain DLL_THREAD_ATTACH"
问:"怎么讲"
答:"阻止远程线程,不开线程,他能干什么?"
问:"如果是SetWIndowsHooks呢"
答:"WH_DEBUG"
问:"怎么讲"
答:"干掉其它进程来的HOOK"
...
这样的回答,十分精辟,我只能叫他v佛,下面,我们仔细口味
技术1: 干掉远程线程,防止利用远程线程注入
只有想不到,没有做不到,这么简单的东西,被我们经常忽略掉了,
我从来没有想到Dllmain这个东西,还能用来反外挂,下面讲讲DLLMain用在反外挂有什么用处
DLLMain是一个回调,如果有新线程创建时,会收到一个DLL_THREAD_ATTACH,
这个时候 ,判断线程入口 点是不是为LoadLibraryA(W),如果 是的话,可以肯定是远程线程正在干注入这事,所以Kill之。至于 如何取得线程入口点QueryThreadInformation,自己百度去。
技术2: 干掉hook,防止SetWindowsHookEx注入
自己先给进程加上一个名叫WH_DEBUG的钩子,
这个钩子能干什么呢。他能监控其它钩子,如果发现,其它进程正在给本进程安装钩子,直接返回FALSE了事,自己的进程在给自己安装钩子,返回TRUE,并且CallNextHookEx
怎么知道是谁在给自己安装钩子呢。
我们看这个回调的第三个参数
LRESULT CALLBACK DebugProc( int nCode,
WPARAM wParam,
LPARAM lParam
);
第三个参数传递以下结构体
typedef struct {
DWORD idThread;
DWORD idThreadInstaller;
LPARAM lParam;
WPARAM wParam;
int code;
} DEBUGHOOKINFO, *PDEBUGHOOKINFO;
在这个结构体中,包含了Installer的Theadid,跟据ThreadID可以找到相应的进程,发现了干坏事的进程,想怎么处置,自己看着办吧
矛与盾的关系,不是绝对的,上面两项技术,不能阻止所有外挂程序,但可以阻止大部分外挂,
就第一项,还可以用来干其它的,因为上面两项不能防止所有注入操作,但是他可以监控线程创建,如果一个外挂,不创建线程,能干哪些事,当然,这不是绝对 的,给我一次执行机会,我就能干许多事。
上面只是浅显的技术研究,第一项技术可干许多 的事,自己研究吧
话说神秘人物v校,73%可能性为女性。此技术是从他那里学来的。
此人说话言简意赅,需要耐心体会。
外挂,与反外挂,是矛与盾的关系,要想做好反外挂,必须了解矛的构成,以及盾的技术,才能制造出一个较好的盾。
纵观当前反外挂形势,就像是世界大战,各种驱动满天横飞。战火连天,一发生战争,最受伤的是老百姓,一但用到驱动去反外挂,最受伤的是用户
bs驱动反外挂技术,我很欣赏应用层反外挂技术,稳定,优雅,不会伤及无辜。
下面讲讲应用层反外挂技术。
某日,突然想起应用层反外挂技术,自己不得其解,跑去问v校,
问:"应用层反外挂,有什么好点子没有,因为今天 x64大行其道 ,弄驱动,已不合时宜了?"
答:"Dllmain DLL_THREAD_ATTACH"
问:"怎么讲"
答:"阻止远程线程,不开线程,他能干什么?"
问:"如果是SetWIndowsHooks呢"
答:"WH_DEBUG"
问:"怎么讲"
答:"干掉其它进程来的HOOK"
...
这样的回答,十分精辟,我只能叫他v佛,下面,我们仔细口味
技术1: 干掉远程线程,防止利用远程线程注入
只有想不到,没有做不到,这么简单的东西,被我们经常忽略掉了,
我从来没有想到Dllmain这个东西,还能用来反外挂,下面讲讲DLLMain用在反外挂有什么用处
DLLMain是一个回调,如果有新线程创建时,会收到一个DLL_THREAD_ATTACH,
这个时候 ,判断线程入口 点是不是为LoadLibraryA(W),如果 是的话,可以肯定是远程线程正在干注入这事,所以Kill之。至于 如何取得线程入口点QueryThreadInformation,自己百度去。
技术2: 干掉hook,防止SetWindowsHookEx注入
自己先给进程加上一个名叫WH_DEBUG的钩子,
这个钩子能干什么呢。他能监控其它钩子,如果发现,其它进程正在给本进程安装钩子,直接返回FALSE了事,自己的进程在给自己安装钩子,返回TRUE,并且CallNextHookEx
怎么知道是谁在给自己安装钩子呢。
我们看这个回调的第三个参数
LRESULT CALLBACK DebugProc( int nCode,
WPARAM wParam,
LPARAM lParam
);
第三个参数传递以下结构体
typedef struct {
DWORD idThread;
DWORD idThreadInstaller;
LPARAM lParam;
WPARAM wParam;
int code;
} DEBUGHOOKINFO, *PDEBUGHOOKINFO;
在这个结构体中,包含了Installer的Theadid,跟据ThreadID可以找到相应的进程,发现了干坏事的进程,想怎么处置,自己看着办吧
矛与盾的关系,不是绝对的,上面两项技术,不能阻止所有外挂程序,但可以阻止大部分外挂,
就第一项,还可以用来干其它的,因为上面两项不能防止所有注入操作,但是他可以监控线程创建,如果一个外挂,不创建线程,能干哪些事,当然,这不是绝对 的,给我一次执行机会,我就能干许多事。
上面只是浅显的技术研究,第一项技术可干许多 的事,自己研究吧
0 0
- 应用层反WG技术研究
- WG
- 游戏反调试技术研究
- IPTV技术研究及应用
- IPTV技术研究及应用
- 基于应用层自身反远程线程注入的研究
- MPLS技术研究及应用方案
- 反卷积层参数设置
- caffe反卷积层
- wg?-bookmark
- 技术研究
- 技术研究
- 反流技术之IE插件技术研究第一部分
- 反流技术之IE插件技术研究第二部分
- 反流技术之IE插件技术研究第二部分
- 反流技术之IE插件技术研究第一部分
- JDBC的数据库连接池技术研究与应用
- JDBC的数据库连接池技术研究与应用
- 如何在大学里成为IT技术大神
- ubuntu14.04分辨率设置
- cvReleaseImage()出错的问题
- Remove Duplicates from Sorted List
- <1> GCC的源码安装
- 应用层反WG技术研究
- 解决ubuntukylin下各种终端字母重叠的方案
- HDOJ 5058 So easy
- immutable类
- RTL8192SU移植到ok6410
- Java的动态代理初涉
- eclipse 的Debug 技巧
- 黑马程序员——面向对象9:对象的初始化&方法的调用
- 黑马程序员——Foundation结构体和常用类
