二、C++反作弊对抗实战 (进阶篇 —— 13.利用内联汇编实现多层深度检测非法call)

最新推荐文章于 2023-12-24 23:55:58 发布
原创 最新推荐文章于 2023-12-24 23:55:58 发布 · 765 阅读 · 3
标签
#C++ #VC #非法call检测
本文介绍了一种使用内联汇编实现的多层深度检测非法call的方法,作为C++反作弊技术的进阶篇。通过示例代码AsmStackCheck.cpp和Public.cpp,展示了如何检测调用堆栈的非法行为。这种方法在游戏反作弊系统中广泛应用,理解其原理和思路至关重要。

利用内联汇编实现多层深度检测非法call

   在上章节中介绍了利用ebp返回地址检测非法call函数调用、如何实现VS2010调试器的调用堆栈列表的方法,在这章节中,我们换另一种内联汇编的方法实现的深度多层调用堆栈检测,示例代码如下:

  AsmStackCheck.cpp

// AsmStackCheck.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include "Public.h"
#include "EnumModule.h"
#include "EasyHook.h"

// 定义函数指针
typedef BOOL (WINAPI *fun_MessageBoxW)(HWND hWnd, LPCWSTR lpText, LPCWSTR lpCaption, UINT uType);

// 原始函数地址
fun_MessageBoxW		g_pOldMessageBoxW = MessageBoxW;

// 钩子过滤函数检测非法ebp
BOOL WINAPI new_MessageBoxW(HWND hWnd, LPCWSTR lpText, LPCWSTR lpCaption, UINT uType)
{
	S
了解本专栏 订阅专栏 解锁全文 超级会员免费看
C++反作弊对抗实战 (进阶篇 —— 11.利用ebp返回地址检测非法call函数调用)
Koma的主页
03-04 1013
这个示例代码已经介绍了如何利用ebp来检测上层的非法call调用,实际上在真正的反作弊场景上,我们肯定不会只检测一层的,会检测很深的层次,当然有个弊端就是检测层次越深,误报就极有可能越多,这里就特别需要配合游戏流程与架构......
InlineHook和API HOOK从原理开始,一次性掌握劫持技术
qq_50749602的博客
09-22 1113
在汇编中可以转移指令执行流程的指令是JMP和CALL,我们要干的就是在要将原来的执行流中插入JMP或CALL,在开始写代码之前,你需要想清楚使用JMP还是CALL,如何使用在于你的目的,使用JMP可以保证堆栈偏移不会发生变化,但需要计算两次JMP 的偏移量,而使用CALL则只需要计算一次,就是CALL的偏移量,而回跳地址直接使用ret,但缺点是CALL会更改堆栈的偏移,因为要压入回跳地址,我通常喜欢使用CALL来做劫持,因为堆栈的偏移相对于JMP那种繁琐的计算是不值一提(😄)的。
任鸟飞逆向C++进阶篇
09-07
【课程简介】本课程为任鸟飞逆向C++进阶篇,注重基础理论的务实和简单功能的实现,学员学成后,可独立判断、分析和解决逆向问题、独立编写通用辅助。本套课程不只是一套深入学习C++的课程,更是一套深入学习汇编逆向课程、外挂与反外挂、软件安全的课程。逆向思路技术随笔,请关注我的CSDN博客:https://blog.csdn.net/qq_36553941 欢迎大家来学习交流,活动折扣等信息也在其第一时间发布。PS: 课程中工具包、源码、课件请关注第一章的第一节的随课课件,工欲望善其事,必先利其器! 【学前预备知识】任鸟飞逆向C++系列课程是一条精心安排为掌握汇编逆向、外挂与反外挂、软件安全的学习路线,包括但不限于 基础篇、进阶篇(本篇)、高级篇、实战篇等,所以为保证您能学有所成请在学习本篇之前务必掌握基础篇!!!基础篇CSDN学院链接:https://edu.csdn.net/course/detail/30509 【学员学成收获】1、C++编程语言进阶。2、游戏逆向分析进阶。3、游戏安全对抗理论进阶。4、独立编写通用辅助。 
反注入技术:防范非法 Call 调用的探讨
溡漪幽博客
12-24 1753
DLL 注入是一种常见的技术,用于向目标进程注入外部的动态链接库(DLL),以执行某些特定的操作。这种技术在恶意软件、游戏作弊等场景中被广泛使用,因此,研究和实施一些反注入技术对于提高应用程序的安全性是至关重要的。本文将介绍一种基于返回地址检测的反注入技术的实现,以防范非法的 DLL 注入。
简单谈下 怎么避免游戏检测非法调用call
whitehack的专栏
01-17 1万+
<br /><br />一般情况下 按照以下处理方式就可以避免了<br /> <br />例如 龙OL  这样处理就不会被检测非法调用call了<br /> <br /> <br /> <br />在游戏地址空间找到一处空位置  写入如下机器码<br /> <br />004014D9      58                 pop eax                                  ;  弹出返回地址<br />004014DA      A3 E8144000      
找游戏Call之另类方法:查看堆栈法
01-14 4617
本人非此文作者,从QQ中复制而来。原文出自何处实在不在知。作者见了不允则请留言,我会在第一时间删除     Call的找法一直都是个不大不小让人头痛的问题,需要大量的汇编代码分析,还需要很多测试工作,当然还有一种变态的方法,那就是用OD断下后,把前前后后所有的call都测试一边,也能找到关键call,不过面对大量的call和无数次挂游戏,恐怕这个方法只能在理论上实现了。     那么是否有
游戏检测对抗与防护艺术
鬼手的博客
04-11 8212
文章目录前言通过send函数定位吃药call变量检测构造检测程序处理变量检测call检测原理查找检测变量变量检测处理堆栈检测堆栈检测原理 基于本地堆栈检测原理 基于服务器处理一层堆栈检测处理多层堆栈检测CRC检测什么是CRC检测构造CRC检测处理CRC检测数据检测数据检测原理构造检测程序数据检测处理总结 前言 从游戏外挂的利用角度来看,外挂的行为无非有如下两种: 修改游戏的关键数据和代码:属于...
易语言反游戏检测call-游戏Call技术-(绑定主线程调用CALL技术)
weixin_hhdebug的博客
05-28 5444
我们在写call调用网络游戏进程里call时候,经常外挂辅助程序运行工作一段时间后,网络游戏就会断线或崩溃掉,但是经过检查, 发现自己调用CALL的代码又没发现写错误,这到底是怎么呢?{:100_162:} 其实这些是现在网络游戏的一些网络游戏反外挂辅助程序检测导致的,并不是我们调用call的代码没写对, 现在的网络游戏调用自己网络游戏进程里的各种CALL,都是网络游戏自己的主线程来执行的,如果不是网络游戏的主线程调用CALL, 就会奔溃或网络游戏掉线, 所以我们的外挂辅助程序程序都是在网络游戏进程里创建
防破解_call栈帧检测
zhaokino的博客
03-20 1769
call栈帧检测,检测目标函数的返回地址,防止目标函数被hook,可用于软件防破解全程伪代码讲解知识点1 函数的返回地址所在范围----------通常,call一个函数会形成一个栈帧,例如:void msg()//无参call{信息框("我是信息框")}void msg1(整数型 句柄,文本型 标题,文本型 内容,整数型 类型)//有参call{信息框(句柄,标题,内容,类型)}不管有参还是无参...
软件破解逆向安全(五)CRC检测
weixin_43781139的博客
11-17 8708
我们先了解一下几种对抗游戏作弊的技术: ⒈数据检测:对基础的游戏数据进行校验,例如坐标是否违规越界地图(坐标瞬移功能),人物短时间位移距离是否过大(人物加速功能)等等 ⒉CRC检测:基于游戏程序代码的检验,例如将人物移动中判断障碍物的je条件跳转修改为jmp强制跳转(人物穿墙功能)等等 ⒊封包检测:将游戏数据封包进行校验,防止利用封包漏洞实现违规操作,例如之前的穿X火线强登(可以登录任意账号)等等 ⒋机器检测:现在鹅厂 安全组好像换人了 ,游戏机器码封的都挺狠,一封就十年,不过道高...
任鸟飞逆向分析基础教程
09-20
【课程简介】本套课程为任鸟飞课程游戏逆向分析系列的入门课程,面向所有无基础的对游戏安全,对逆向分析感兴趣的学员。课程结合了C++,汇编,反外挂等元素,让你轻松走进游戏安全的大门。 逆向思路技术随笔,请关注我的CSDN博客:https://blog.csdn.net/qq_36553941 欢迎大家来学习交流,活动折扣咨询等请在博客私聊我。 PS: 课程中工具包、源码、课件请关注第一章的第一节的随课课件,工欲望善其事,必先利其器! 【学前预备知识】仅需基础的编程与程序知识,无则参考基础篇CSDN学院链接:https://edu.csdn.net/course/detail/30509 【学员学成收获】1、游戏安全入门。2、外挂与反外挂入门。3、逆向分析入门。 
伪造返回地址绕过CallStack检测以及检测伪造返回地址的实践笔记
01-18 5641
Author:[CISRG]KiSSinGGerE-mail:kissingger@gmail.comMSN:kyller_clemens@hotmail.com题目有点搞......Anti-CallStack Check and Anti-Anti-CallStack Check...(;- -)发现最近MJ0011的“基于CallStack的Anti-Rootkit HOOK检测思路”和gy
主线程调用过环境检查以及防止游戏崩溃
m0_46135508的博客
12-15 3051
先给大家说两种情况,也许这些情况都是你遇见过的。 案例一,逆向软件,调试游戏找到了某个CALL,我们编写DLL,把这个call写入到DLL中,然后把DLL注入到软件内部,对这个CALL进行调用,发生游戏直接崩溃报错的情况。 又或则直接用代码注入器编写内联汇编直接注入代码导致崩溃。(有的时候代码注入器不会出问题,因为他是进程挂靠的方式 优于DLL中非主线程调用的方式) 图片 案例,编写了具有单一功能或则是一系列功能的DLL,测试以后功能正确,代码无误,可是总是在长时间运行时出现莫名其妙的崩溃情况。 其实这
任鸟飞逆向C++高级篇
09-08
【课程简介】本课程为任鸟飞逆向C++高级篇,注重在逆向中运用的技巧和思维逻辑,掌握后相关工具与手法可以熟练运用,在反汇编的世界里如鱼得水。 本套课程不只是一套深入学习C++的课程,更是一套深入学习汇编逆向课程、外挂与反外挂、软件安全的课程。 逆向思路技术随笔,请关注我的CSDN博客:https://blog.csdn.net/qq_36553941 欢迎大家来学习交流,活动折扣咨询等请在博客私聊我。 PS: 课程中工具包、源码、课件请关注第一章的第一节的随课课件,工欲望善其事,必先利其器! 【学前预备知识】任鸟飞逆向C++系列课程是一条精心安排为掌握汇编逆向、外挂与反外挂、软件安全以及软件编程的学习路线,包括但不限于 基础篇、进阶篇、高级篇(本篇)、实战篇等,所以为保证您能学有所成请在学习本篇之前务必掌握基础篇与进阶篇!!! 基础篇CSDN学院链接:https://edu.csdn.net/course/detail/30509进阶篇CSDN学院链接:https://edu.csdn.net/course/detail/30680 【学员学成收获】认真学习并练习后将掌握:1、熟练游戏逆向思想与技巧。2、熟练通用辅助程序设计。3、熟练诸多逆向工具使用。4、熟练常见数据结构逆向分析。5、熟悉智能主线脚本编写。 
任鸟飞逆向C++基础篇
09-06
【课程简介】本套课程为2020任鸟飞灵魂起源的入门篇,面向所有零基础的对游戏安全,对逆向分析感兴趣的学员;课程结合了C++,汇编,反外挂等元素,让你轻松走进游戏安全的大门。学习本课程您将收获到:1、C++语言入门2、软件逆向工程入门3、外挂与反外挂入门4、游戏安全对抗入门PS:课程中工具包、源码请关注第一课:《进制》的随课课件,工欲望善其事,必先利其器!同学们准备好,让我们一起走进逆向的大门! 【本课程包含章节22课时:】一、创建第一个程序编写进制转换器:理解进制概念、入门编程。 、CE基础和实现游戏瞬移:掌握CE工具基础、实现小功能窥得逆向大门。 
调试技巧之调用堆栈 - Call stack
热门推荐
zhg598242449的专栏
05-22 2万+
简单介绍   调试是程序开发者必备技巧。如果不会调试,自己写的程序一旦出问题,往往无从下手。本人总结10年使用VC经验,对调试技巧做一个粗浅的介绍。希望对大家有所帮助。      今天简单的介绍介绍调用堆栈。调用堆栈在我的专栏的文章VC调试入门提了一下,但是没有详细介绍。      首先介绍一下什么叫调用堆栈:假设我们有几个函数,分别是function1,function2,functi
如何正确理解call stack 和heap
weixin_43088960的博客
12-08 1011
如何正确理解call stack 和heap
QT内嵌汇编cpuid
不知东方之既白
05-22 773
执行cpuid指令后,返回值寄存器(eax、ebx、ecx、edx)的值会被更新,这些值可以被存储到内存中或进一步处理。这些寄存器的值可以被存储到内存中或进一步处理,例如通过循环来遍历所有可用的CPUID值,或者通过cmp指令来比较不同的CPUID值。这段汇编代码使用了GCC的内联汇编语法,实现了执行CPUID指令并将结果存储在数组s中的功能。QT 5.7 msvc 编译器可直接运行下面的汇编。上面的代码是QT 5.12 mingw 编译器。
qt内嵌汇编
cqltbe131421的博客
09-01 3008
我们先来看一个简单的内嵌汇编: int a = 6; int b = 1; asm volatile("movl %0,%1" : "=r" (a) : "r" (b)); printf ("a = %d\nb = %d\n", a, b); system("pause"); 先介绍一下这段代码的内容: “__asm__”表示后面的代码为内嵌汇编,
绕过__chkesp堆栈检查
lixiangminghate的专栏
06-23 2981
前面很多注入相关的文章中都提到为了保证注入后原始程序能恢复正常的执行流,需要在编译器中关闭堆栈检查。作为解决问题,这是个好手段,但是不得不说这是回避问题,不是解决问题。本文旨在解决这个问题。     __chkesp,顾名思义,检查esp的值,检查失败就抱错。什么时候esp会出错?情况很多,如果排除缓冲区溢出的可能,那还有堆栈失衡的情况。比如不正常的退出函数方式。 我经常遇到的不正常退出函数引
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

汪宁宇

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值