暗黑破坏神2重置版 反调保护分析

原创 已于 2022-03-05 10:00:31 修改 · 2.8k 阅读 · 0
标签
#c++
于 2022-02-07 10:34:46 首次发布
本文详细分析了《暗黑破坏神2重置版》的反调试保护机制,包括Remap保护、API加密、调试器附加检测、内存校验等,并探讨了多种反调方式和保护策略。

暴雪的游戏除了守望先锋外都没有使用驱动对游戏进行保护,撇开驱动不谈,这里针对ring3层的保护进行分析

目录

一、初步分析

二、动态调试保护壳

三、反调方式分析

四、内存校验分析

五、技术总结

六、ByPass方法

一、初步分析

初步分析从三个方面(查看内存分布是否合理,查看系统API是否干净,调试器附加是否成功)

1、游戏起来后用工具查看内存属性,很明显的就有个 Remap的保护,防止代码修改

2、查看api修改点,就是2个DEBUG的api被修改,防止断点

Ntdll.dll->DbgBreakPoint

Ntdll.dll->DbgUserBreakPoint

3、动态调试器附加后直接跑飞

应该有对调试附加检测,或者隐藏线程的保护

二、动态调试保护壳

       上面初步分析看到了Remap,所以这里EXE直接放调试器运行,单步调试看看在操作Remap前做了些什么。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
VT过游戏保护,调试有保护的游戏
01-25
VT过游戏保护,调试有保护的游戏。无视TP,HP,PP。
暗黑破坏神3配置文件+「Diablo 3 profile +」-crx插件
03-11
这个简单的扩展将你的元素伤害和元素精英伤害加到你的官方暗黑3个人资料页面上。 新的损坏行将添加到“属性”部分,就在您的图纸损坏的正上方。 (请参阅提供的屏幕截图)v1.1:-添加了设置奖励-添加了工具提示v1.0.1:-添加了对HTTPS的支持 支持语言:English
守望先锋游戏反外挂技术测评
ludongguoa的博客
09-23 2965
前言守望先锋作为目前最为火爆的游戏,赢得了广大玩家的青睐。在天梯赛开放过后,其反外挂机制受到了玩家的挑战。本文本着学习态度,通过“黑盒测试”的方式逐步分析其反外挂机制,最后再结合目前市面上的一款外挂验证其反外挂机制的有效性。反外挂之文件结构首先从守望先锋的文件入手,找到其反外挂机制的载体。守望先锋的文件结构树如图1所示。 守望先锋文件结构树 文件结构很清晰明了,可执行的文件包括:1. OverWatch.exe,该文件即为守望先锋的主程序;2. OverWatch_Launcher.exe,.
游戏安全攻防
09-10
游戏数据的分析Moba游戏的技能躲避和技能轨迹的原理与实现FPS透视 的原理与实现(包括飞天遁地飞刀秒杀加速子弹穿墙等等原理与实现) Call的检测分析与实战内存效验的分析与实战CRC的处理等等每周更新4课时最大特点: 1、循序渐进 从基础开始讲解,帮助大家理解和掌握逆向编程的核心。 2、通俗易懂,编程语言枯燥难懂,然而通形象化的讲解使编程中的难点、重点,让您轻松掌握。 3、实战性强 编程中要注意什么?如何阅读出错提示?如何调试运行程序?如何排查错误,解决问题
暴雪和黑客的战争三:黑客的反击
Sting的专栏 - Under the hood
11-07 1万+
暴雪在1.10补丁中加入hack检测机制,在某种程度上直接导致了原本和谐的D2X游戏黑客社群的分裂。一部分出于对检测机制的顾虑,停止更 新自己的作品,如d2hackit;另一部分则把他们的hack具有的反检测功能当成卖点开始收费,如d2maphack和d2jsp;还有一部分黑客出 于不满开始制作这些收费hacks的替代品,如d2hackmap,C3PO,d2bs等;甚至有些黑客出来破解这些收费ha
某游戏的反调试
墨鱼菜鸡
09-09 1033
最近比较无聊,有朋友就喊我去玩玩打枪的小游戏,然后由于我怕麻烦所以把游戏安装到虚拟机中了,然后我虚拟机开了双机调试器,其实是由于我比较懒不想关双机调试,导致游戏弹出窗口要求我关闭调试器。 小样,你叫我关就关岂不是很没有面子,然后我做了下面的事情。 首先看是不是检测了SharedUserData->KdDebuggerEnabled 这里手动在...
暗黑破坏神2重置 UI界面管理类分析
IT男也疯狂
11-28 1771
一直关注暴雪的游戏,这次来分析暗黑2重置里的UI界面数据结构。 由于游戏有着各种猥琐的反调检测和保护,所以只能使用伪调试的方式进行静态分析。 起手一个字符串枚举看看有什么可用的,从暗黑2的旧客户端了解下,就从小地图入手! 关键字:AutoMap 乍一看,显然图二有点东西,那就从这里入手了,跟进去看看代码上下文 如图注释,这里应该是注册控件的地方,根据字符串的意思,应该是有个PanelManager的类管理着游戏内所有的界面。那我们就来找下这个类,继续搜索字符串,于是就找到了这里.
给游戏或代码增加反调试功能(应用层级)
weixin_44389943的博客
02-27 966
前言: 感谢:易道云学院 tiger老师指导: 调试分为:打开一个调试进程和调试一个现有的进程。 DebugByCreate为真时调用CreateProcess()函数打开一个调试进程,当DebugByCreate为假时调用DebugActiveProcess(dwPID)函数调试一个现有的程序。 一、调用CreateProcess()函数打开一个调试进程: 调用CreateProcess()函数实际底层调用: 二、调用DebugActiveProcess(dwPID)函数调试一个现有的程序
Hacking Diablo II之外挂实战教程:去除D2JSP试用显示的Trial Version信息
Fido
02-03 2318
前几天一个网友给我发消息请我帮他个忙。他的问题是,他正在使用的D2JSP是免费试用,试用在运行时会在游戏的所有游戏画面中央显示一行很大的“Trial Version”字样(见下图中的红圈),很烦人,他想去掉这行字。我想正好用此做个教程解释前面介绍过的hack工作原理,于是答应帮他看看。我已经很久没有开BOT了,最后一次使用D2JSP还是2003年1.09d时期的事。根据我以前的理解,D
cpp-Diablo暗黑破坏神游戏逆向工程
08-16
Diablo devolved - magic behind the 1996 computer game
暴雪和黑客的战争(驱动保护技术)
08-24
哎,这次出大血了,就共享吧 谁叫我没分了呢,悲剧啊
简单说一下 Steam平台 常用游戏的EAC反调试保护 WIN7X64
落笔飞花笑百生的博客
05-09 1万+
内核层:3个内核线程用于不停的恢复THREAD PROCESS-CALLBACK 直接1字节anti会开启不了驱动 这里比以前的TP好点儿               CALLBACK里面抹去了句柄的读写内存权限 导致OD看不见进程 CE搜不了内存              反附加 三个驱动里面改了线程暂停位的反附加线程 导致OD附加 游戏直接消失 还有僵尸进程
实战过驱动保护
qq_43082315的博客
10-06 1万+
以逆战为例,实战过游戏驱动保护
反调试】去除各种反调试
Night May Say
04-14 1万+
前不久破解一个软件的时候遇到了各种反调试,折腾的自己各种难受,最终爆破了之后感觉心情大快就顺手写下了这篇文章使用工具十六进制分析工具:winhex 查壳工具:PEID 脱壳工具:ollydump插件或者LordPE 脱壳修复工具:ImportREC 逆向工具:OllyDbg分析过程PE修复打开源程序所在文件夹,发现有一个crackme,双机运行程序发现有这个提示: 应该是文件的PE结构
突破游戏驱动级反外挂保护
weixin_30822451的博客
02-18 1526
现在大多数网络游戏都使用驱动级的反外挂保护,使其他程序无法获得其游戏窗口句柄,下面驱动代码可以恢复被TesSafe.sys Hook掉的API。 #include <ntddk.h> #include <windef.h> #include <ntimage.h> #include "Common.h" typedef struct _KAPC...
防止被进程附加调试
Crescens
11-22 2770
/**********************防止被进程附加调试*******************************/ bool AntiAttach() {       HMODULE ntdll; // ntdll handle        void* pDbgUiRemoteBreakin; // function handle        DWOR
X64位驱动保护-隐藏进程躲避游戏检测
热门推荐
hzw320的博客
08-24 2万+
前面我学习过 32位系统里进行驱动隐藏进程,http://bbs.dult.cn/thread-10701-1-1.html 来防止破解或被游戏检测到辅助 本节例子教程讲述的是在64位 win7系统进行驱动隐藏进程, 毕竟现在网络上能在64位win7系统里进行驱动隐藏进程的非常少 所以独立团有必要在驱动模块里加入强大的64位系统驱动隐藏进程功能 隐藏后的效果如下: 可以看见64位...
某国内大型网游公司反调试器附加研究
我的幻想之都
02-13 1536
搞了一个晚上,天终于亮了,问题也解决了,VMP加检测DEBUG,再加代码DEBUG看了部分记录就知道了。。。原来很简单。 想CE就CE,想OD就OD 爽,累了。。。闪 ThreadId:a8d8 ==Starting:ThreadId:a8d8 ==Loading:ThreadId:a8d8 ==LoadLibraryExW:RPCRT4.dll,0x0,0x0,Addre
分享如何实现Qt 高级开发 015:C++ 原生实现信号槽机制
最新发布
2401_85049165的博客
06-16 234
本文介绍了如何在C++中不依赖Qt框架原生实现信号槽机制。通过使用std::function和模板类,作者构建了Signal类来处理信号连接、发射和断开操作,并支持普通函数和成员函数作为槽。文章还讨论了线程安全和性能优化方案,包括使用互斥锁保护共享资源。这种实现方式保持了信号槽松耦合的特性,同时避免了Qt依赖,为C++开发者提供了一种轻量级的事件驱动编程方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值