【转载】反反外挂的思考<<杀死np>>
不久前有人问如何反np(反反外挂),对于外挂来说就是反侦察!!
-------------------------------------------------------------------------------------------------genic--------
下面我浅谈我对于反外挂的认识和外挂的认识!包括
np工作原理分析 外挂工作原理分析 反np 反外挂
np(反外挂类软件)
前言::
现在有很多的游戏都使用了不同的反外挂技术!!有自己独门创的模块有第三方的软件!例如nProject(np)!np的制作厂商我们就不管他了(反正也得不到他的软件)!值得一提的是我们国家著名的老盘软件公司"金山软件公司"开发的"金山游盾",据说开发了三年(做个什么东西动不动就几年几年的辛苦了)!我也没有荣幸能检测此软件的"功力",不过金山还是不负众托的!呵呵!顶金山一下!!
目录:
我不打算侃网游的发展如何的振奋人心网游的未来如何的光明!如果你还不知道什么是np,请让我告诉你他是干什么的!他可以让你的调试工具失灵!让你的DLL无法注入游戏中!甚至在开启了游戏时连"词霸"都会罢工!
为什么呢?看看现在我们还能做什么!!蒙了吧!对游戏束手无策了吧!!!
np工作原理浅谈:
现在笔者所知的全部是来自其他人之口,我没有进距离的接触过np,所以如有所说欠妥之处请指出!!
np大多是封掉了系统的一些外挂程序频繁使用的函数!如:SetWindowsHookEx();CreateRemoteThread():等等这些函数!他是如何做到的呢!开始游戏的时候执行np程序,然后np向所有的进程注入他自己准备好的模块,此摸就是拦截敏感API的模块.而且他会检测系统的进程一旦有新的进程就立刻注入DLL,所以外挂挂了!!,并且np在游戏的程序中拦截敏感的API从而彻底的干掉了他们不想看到的API当然游戏中是不使用此API的!!还有NP会随机性的或周期性的和主游戏或服务器(前者的可能性比较大)通信,一旦通信中断或有异常会立刻结束主程序或发送"外挂异常"信息到服务器!!!!!!!
在课户端他会查看游戏进程内的模块信息一旦发现可疑的模块立刻采取措施!!!
所以光是不让np 运行是不行的!要让他活着但实际他已经死了,在游戏主程序看来np 还活着但此时的np已经是我们控制的僵尸了!!哈哈!!这是最激动人心的 !哈哈!
如何才能用"咒语"控制np 呢?np也是程序也是要使用API的他注入程序一样要使用HOOK或RemoteThread等等的方法,所以还要从这些API着手!大概的思想就是在np执行这些函数前得到函数的控制权!然后就是偷梁换柱了!!
还有就是不让np 发现自己的进程,即只需要找到np查找,检测进程的函数就可以完成任务了!!
另一个更字的方法是让自己的进程在windows中象是一个局外人,面对操作系统进程是隐身的!!这个比较难!!
尾声:
面对强大的np一些人沉没了,但总有些人要爆发的!
不在沉默中死亡,就在沉没中爆发!!!!!
------------待续------
因作者水平有限,希望谅解
