最新消息:本站【魔域私服发布网】每日更新魔域相关资讯文章,每日发布精选魔域私服,各种版本,应有尽有。来吧!兄弟!一起体验经典吧!

魔域私服辅助隐藏!盘一盘2018年那些难缠的固执病毒木马

仿官魔域私服 admin 12浏览 0评论

【文章摘要】 2018年活泼的Bootkit/Rootkit病毒家族包孕暗云、独狼、外挂鬼魂、血狐、紫狐、隐魂、双枪、主页保安木马等等家族。这些病毒木马被归类为固执病毒木马,普通用户用普通的方式较难消灭洁净,复杂格式化重装,有些病毒还会再次新生。

一. 媒介

魔域私服辅助隐藏

有一类病毒木马令中招者非常头疼,怎样头疼呢,就是通俗网友一旦中招,普通的杀毒方式杀不洁净。用杀毒软件杀不完,格式化重装行不行?但这类病毒普通网友格式化重装很快发明又来了。什么样的病毒如斯固执,明天让我们来盘一盘。

固执病毒首要指利用计算机启动后较早的机遇取得履行时机,运转在零碎底层的Bootkit病毒及Rootkit病毒。Bootkit病毒会传染磁盘MBR、VBR,在零碎指导阶段就取得履行控制权,有启动早,潜藏性高档特色。Rootkit病毒在Ring0层履行,有着较高的权限,常常经过挂钩磁盘钩子,注册回调等技术手段完成自珍爱,有与杀软匹敌剧烈,变种多等特色。

2018年较为活泼的Bootkit/Rootkit 病毒家族包孕暗云、独狼、外挂鬼魂、血狐、紫狐、隐魂、双枪、主页保安木马等等家族,此中下半年最为活泼的Rootkit病毒家族为独狼家族,仅电脑管家停止表露的独狼家族相关的病毒感染事务就有3例,传布渠道从独狼一代的盗版GHOST零碎到独狼二代的激活东西,从主页锁定,刷量获利到传布盗号木马,到强力破损杀毒软件功用,可谓是无恶不作。

Bootkit最为活泼的病毒家族为暗云及隐魂系列,此中暗云不但频仍替换C2网址,还初次发明和Mykings僵尸收集停止绑缚传布,另外国际厂商表露的暗云变种”藏匿者”也到场了挖矿的行列。Bootkit病毒家族隐魂最早在2017年被表露,其变种“隐蜂”最首要的变现体式格局也是挖矿。

Bootkit/Rootkit病毒传播渠道可以分为四大类,首要包孕盗版Ghost零碎、激活东西、游戏外挂辅佐及下载器、第三方流氓软件,及经过缝隙行使弱口令爆破等传布新体式格局。值得注意的是,腾讯御见要挟情报中心在分歧的时间段随机抽取了各大零碎下载站点共对270个零碎下载链接下的零碎停止检测,发明预埋病毒致使的零碎异常的下载链接共202个,异常占比高达75%。

本文首要从Bootkit/Rootkit病毒活泼家族、传布渠道、匹敌手艺、典范案例四个方面清点2018年病毒的首要态势及转变。

网民一旦中了固执难杀的病毒,普通的查杀方式轻易失败,推荐下载电脑管家急救盘(急救箱PE版),建立急救U盘,用急救U盘开机查杀病毒。可接见这里下载电脑管家急救箱PE版:

魔域私服辅助隐藏

二. 2018年活泼 B(R)ootkit病毒家族清点

Bootkit/Rootkit病毒仍然是C端普通用户传染后查杀难度较大的首要病毒类型,2018年较为活泼的Bootkit/Rootkit 病毒家族包孕暗云、独狼、外挂鬼魂、血狐、紫狐、隐魂、双枪、主页保安木马等家族。

典范的Bootkit/Rootkit病毒感染事务包孕:

SQL SEVER弱口令爆破入侵,暗云,Mykings等多个病毒家族绑缚入侵传布事务;

魔域私服辅助隐藏

酷玩游戏盒子捏造著名公司数字签名,传布Steam盗号,独狼Rootkit木马事务;

“外挂鬼魂”团伙暴光 系双枪、紫狐两大病毒家族的幕后推手;

页游微端《血盟光彩》强锁主页,劫持50余个著名电商和搜刮网站流量 等等。

腾讯御见要挟情报中心对Rootkit病毒的签名信息停止统计,发明Rootkit病毒的签名信息高度集中,部份签名会被众多利用,此中以“上海预联软件技术有限公司”及“双双 何”最为严重被木马病毒利用的最为普遍。

被病毒滥用签名

对2018年度首要的活泼Bootkit/Rootkit停止统计,其首要的变现获利体式格局有刷流量,锁主页,歹意推行,网络攻击,挖矿等。此中锁主页依然是最首要的变现体式格局,占比高达35%,其次为刷流量及软件推行,占比30%,此中暗云,独狼等家族其首要变现体式格局就是锁主页及刷量。跟着挖矿黑产的衰亡,挖矿获利也逐步增多(占比10%),如“隐蜂”木马,暗云新变种等Bootkit木马也转投挖矿获利。

魔域私服辅助隐藏

固执木马的首要获利变现体式格局

三. B(R)ootkit病毒传播渠道

1. 盗版Ghost零碎

盗版Ghost零碎长期以来不断都是病毒传播的主要载体,更为重要的是,预埋了病毒的盗版Ghost常常行使搜索引擎厂商的告白竞价排名,使得通俗网民在搜刮“Ghost”零碎,“win 7”,“激活东西”等相关关键字时显示在搜刮前几名的绝大部分都是带毒的零碎,即便网民试图经过搜索引擎搜刮“污染版”,展现的搜刮效果仍会在靠前的地位展现内嵌病毒的下载链接。

带毒Ghost零碎

腾讯御见要挟情报中心对各大站点的Ghost零碎停止了检测发明有几个特色:

a. 这些盗版Ghost零碎的下载链接会被频仍的替换,其首要目标是为了隐匿平安厂商对这些下载链接的报毒提醒;

b. 这些带毒的零碎绝大部分会行使搜索引擎告白停止推行。因为国际软件利用习气等缘由,通俗网民取得这些装置零碎的首要路子就是网上搜刮,这致使了有重装系统刚需的用户有极大几率会下载这些存在风险的零碎而成为受害者;

c. 供应这些Ghost零碎的网站根基都在显要位置推带毒零碎下载。

腾讯御见要挟情报中心在分歧的时间段随机抽取了各大零碎下载站点共对270个零碎下载链接下的零碎停止检测,发明预埋病毒致使的零碎异常的下载链接共202个,异常占比高达75%,这里的零碎异常指因为零碎预埋病毒致使的主页被锁定,暗刷流量,地痞推装其他软件等零碎异常成绩。

异常零碎占比

部份成绩下载链接及站点

魔域私服辅助隐藏

盗版Ghost零碎已成病毒传播温床,主要的缘由是其面前存在利益驱动。起首是盗版Ghost零碎经过告白竞价排名取得收集访问量以吸引用户下载安装,随后Ghost零碎中预装病毒,终究完成软件推行装置,劫持主页等手腕停止获利。获利以后再持续加大推行力度,构成一个完好的闭环产业链。

鉴于盗版Ghost零碎,各类激活东西已长时间频仍地被病毒团伙行使传布,建议网民尽可能利用正版软件。

魔域私服辅助隐藏

病毒获利链

2. 盗版激活东西、游戏外挂及各类下载器

游戏外挂,各类辅助工具也是病毒传播的主要载体,其方针为游戏玩家,而传布这些外挂辅助工具的首要是各大外挂网站,包孕七哥辅佐网()、我爱辅佐网()、屠城社区等多个游戏辅佐网站。

常常被用于和病毒打包绑缚传布的外挂辅助工具包孕荒原装备解封器、单板方框透视、DNF梦境配备、帝王破解版等。2018年表露的经过外挂辅佐停止传布的Rootkit/Bootkit包孕双枪木马,紫狐,外挂鬼魂等病毒家族。

盛行的带毒游戏外挂、辅助工具

2018年,被用于传布病毒的激活东西中最活泼的莫过于小马激活东西。激活东西有多个变种,打着win7 激活、零碎激活、office激活的名义,换各类马甲传布,病毒文件常常和激活东西绑缚打包,运转后便会染毒。独狼2代就是首要经过激活东西停止传布。

小马激活东西

3. 第三方流氓软件

除后面提到的的盗版Ghost零碎、激活东西、下载器等传布渠道,第三方流氓软件也是Rootkit/Bootkit病毒的主要传布渠道。

第三方流氓软件的首要特色是,这些软件常常都是用户自动去停止下载安装,看起来和正常的软件没什么区分,都有完好的装置及展现界面,可是这些软件却神不知鬼不觉地往用户电脑机械上装置病毒文件,这类传布渠道常常有隐秘性,看起来像“正轨”商业软件,用少量网民利用。

这类传布渠道的病毒感染装置首要有两种体式格局,一种是装置完软件后并不会立地传染病毒,而是过一段时辰后经过云端节制或软件晋级的体式格局下载安装病毒,另一种体式格局是病毒和软件绑缚装置。

这类传布渠道已成为病毒传播的主要推手,仅仅在2018年下半年,经电脑管家起首停止表露的行使第三方流氓软件传布Rootkit/Bootkit病毒的就有主页保安、血盟光彩微端、护眼小秘书、酷玩游戏盒、桌面助手等软件。

护眼秘书 血盟光彩展现界面

魔域私服辅助隐藏

4. 行使缝隙、弱口令爆破等传布新体式格局

经过弱口令爆破,缝隙行使胜利后停止投毒,之前这类病毒传播入侵体式格局更多的是集中于B端企业用户。但近年来跟着挖矿病毒、讹诈病毒的衰亡,挖矿讹诈等病毒为了增添查杀难度,取得更早的履行时机,也会和Rootkit/Bootkit这类固执病毒停止绑缚传布。

此中最为典范的案例如,暗云木马和Mykings僵尸收集绑缚传布,因为暗云木马在零碎指导阶段之前就取得了履行时机,其履行机遇要比操作系统还要早,这就大大增加了查杀本钱和难度,在此次传布事务中,起首是经过SQL SEVER弱暗码停止爆破,爆破胜利后投放暗云木马、Mykings僵尸病毒,随后Mykings僵尸病毒会行使多种缝隙在内网自动散布,永久之蓝、Telnet爆破、FTP爆破等都是病毒传播者最习用的手段。

入侵传播方式

测验考试SQLSEVER弱暗码爆破

四.匹敌技术升级清点

1. 阻挡过滤

Rootkit病毒常常会注册各种各样的回调,或hook零碎相关函数,以在适宜的时候点取得履行时机,在回调函数中完成相关的阻挡过滤功用。以独狼一代为例,独狼系列病毒家族可以说是病毒高难度匹敌的集大成者,这是一个过滤型驱动,具有完美的过滤架构,阻挡过滤点包孕文件过滤、收集过滤等,下图为过滤点及其利用的手艺,及影响风险。

独狼Rootkit过滤点

2. 匹敌杀软

Bootkit/Rootkit病毒为了隐匿杀软查杀,匹敌技术手段有良多,罕见的一些匹敌手腕以下:

道高一尺魔高一丈,杀毒软件和固执病毒的匹敌是一个持续性的进程,每当病毒用一种新的方式来隐匿或绕过杀毒软件查杀的时辰,很快杀毒软件也会晋级查杀才能对新病毒停止查杀。穷途末路了病毒也会放出大招,比方强迫重启电脑以阻断查杀进程。

2018年电脑管家表露的主页保安病毒就利用了这类强匹敌手腕来隐匿查杀,其首要逻辑为木马会络续的搜检系统启动组注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceGroupOrder 下的List键值,零碎默许该键值第一项为System Reserved,若是搜检到启动组第一项不是System Reserved则暴力重启电脑,经过OUT指令直接写IO端口0x64完成强迫重启,往64号端口写入0xFE后电脑强迫重启以阻断杀毒软件查杀

暴力重启电脑

装备占坑

魔域私服辅助隐藏

3. 自珍爱

这里提到的自珍爱首要指病毒为了避免被用户发明,或被平安研讨人员阐明透辟,常常会经过一些技术手段来珍爱本身以加大被发明或被阐明的难度。

最罕见的自珍爱对象是病毒文件及对应的注册表项。注册表的珍爱首要是经过注册cmpcallbakck回调来完成,经过阻挠或潜藏本身注册表以到达自珍爱的目标。病毒文件的珍爱也是经过底层的文件钩子来完成。另外为了避免被ARK等阐明东西发明常常会潜藏本身的模块信息。

以“血狐”病毒为例,经过KeServiceDescriptorTable拿到NtLoadDriver函数地址,然后经过挪用4次硬编码查找函数(ba7011a4),找到MiProcessLoaderEntry函数,经过搜刮获得MiProcessLoaderEntry地址挪用,到达摘链来潜藏模块信息不被ARK东西发明。

潜藏模块信息

Bootkit的自珍爱首要是珍爱本身的MBR或VBR传染代码及payload不被发明,比方暗云木马会凭据磁盘类型和操作系统替代DriverStartIo、 AtapiHwStartIo、RaUnitStartIo等函数,完成阻挠其他顺序读取磁盘1-3F 扇区(MBR)。当检测到读MBR时, 前往一个组织好的正常的MBR作诳骗,检测到写MBR时,则直接pass 该操作。

MBR珍爱挂钩逻辑

五.典范案例

2018年下半年最为活泼的Rootkit病毒家族为独狼家族,仅腾讯电脑管家停止批露的独狼家族相关的病毒感染事务就有3例,传布渠道从独狼一代的盗版GHOST零碎到独狼二代的激活东西,从主页锁定,刷量获利到传布盗号木马,到强力破损杀毒软件功用,可谓是无恶不作。

Bootkit最为活泼的病毒家族为暗云及隐魂系列,此中暗云不但频仍替换C2网址,还初次发明和Mykings僵尸收集停止绑缚传布,另外国际厂商表露的暗云变种“藏匿者”也到场了挖矿的行列。Bootkit病毒家族隐魂最早在2017年被表露,其变种“隐蜂”最首要的变现体式格局也是挖矿。

1. 独狼Rootkit病毒家族

独狼一代病毒家族最早由腾讯电脑管家于2018年6月表露,独狼一代其传布渠道首要是Ghost零碎。腾讯御见要挟情报中心已在分歧的Ghost零碎中捕捉到多个“独狼”系列Rootkit,包孕Jomalone系列,chanel系列,Msparser系列,Wdfflk系列,在分歧的Ghost零碎里会以固定的效劳名(如Jomalone)启动,每一个系列有多个变种。

独狼系列其PDB信息都是PASS (过滤),都是一个过滤型驱动,具有完美的过滤架构,包孕文件过滤、收集过滤、历程建立过滤、注册表过滤、模块加载过滤等。这四个系列中泛起最早的是在2017年10月。另外其签名信息都有着高度关联性。

参考链接:

魔域私服辅助隐藏

盗版Ghost零碎携“独狼”Rootkit来袭,锁定浏览器主页超20款

独狼系列泛起时候文件签信息

独狼二代从头拓展了传布渠道,而且各个病毒模块功用都失掉进一步改善,传布渠道由单一的Ghost盗版零碎传布演化为冒充零碎激活东西传布。首要经过静默推行装置浏览器获利,并会锁定23款浏览器主页,将浏览器地址栏锁定为带推行渠道号的网址导航站,和独狼一代一大区分为从纯Rootkit驱动劫持首页,改变为内存解密Payload连系浏览器注入完成,另外还会静默推装浏览器

参考链接:

Rootkit病毒“独狼2”冒充激活东西传布,锁定23款浏览器主页

魔域私服辅助隐藏

独狼系列病毒静默装置的浏览器

独狼系列最新变种,会经过“酷玩游戏盒子”、“桌面助手”、“玩玩游戏”等软件传布盗号木马,该木马累计已传染超越5万台电脑。软件运转后会起首下载伪装成WPS的病毒,再下载安装“独狼”Rootkit病毒,终究停止营销推行、歹意推装更多软件来获利。

魔域私服辅助隐藏

木马作者疑似捏造“北京朴直阿帕比手艺有限公司”的相关信息,请求了正轨的数字签名,该病毒文件会下载Steam盗号木马,因病毒程序具有正当数字签名致使多款杀毒软件未实时查杀,这是该病毒感染超越5万电脑的主要缘由。

参考链接:

酷玩游戏盒子捏造著名公司数字签名,传布Steam盗号木马

独狼木马履行流程

2. 暗云木马

暗云家族最早由电脑管家于2015年停止表露,18年9月国内安全厂商表露了暗云变种“藏匿者”转投挖矿,病毒暴力破解用户数据库入侵电脑,MBR传染代码取得履行后将恶意代码注入到零碎历程中(winlogon或explorer历程),终究恶意代码会下载后门病毒到当地履行,后门病毒会下载履行挖矿相关病毒模块,挖取门罗币。

参考链接:

“藏匿者”病毒团伙技术升级传布病毒

暗云木马挖矿设置装备摆设信息

腾讯御见要挟情报中心2018年12月监控到暗云最新静态,和Mykings僵尸收集木马绑缚传布,经过MS SQL SEVER弱暗码入侵用户机械胜利后会履行近程剧本饬令,近程剧本履行后会下载多个木马文件到当地履行包孕暗云传染器、Mykings僵尸收集木马、Mirai僵尸收集木马。和以往的暗云系列比拟,首要转变包孕会强迫竣事包孕管家、360等杀软历程,随后注入应用层的payload会凭据云端配置文件停止主页锁定及下载履行木马病毒等功用。(参考链接:[5])

弱口令爆破SQL Server服务器,暗云、Mykings、Mirai多个病毒家族结伴来袭

暗云配置文件

3. 隐魂木马家族

隐魂系列最早于2017年停止表露,和暗云系列最大区分为payload的存储区域及hook流程有着较大差别,暗云payload存储在3到63扇区,而隐魂系列存储在磁盘末尾。

隐魂系列最新变种“隐蜂”其首要的变现体式格局也是挖矿,“隐蜂”挖矿木马在R3层的框架设计比较复杂,全部R3层解压后的模块配置文件总数多达30+,同时引入LUA剧本引擎完成天真的战略节制。

参考链接:

魔域私服辅助隐藏

“隐蜂”来袭:全球首例Bootkit级挖矿僵尸收集

“隐魂”木马窜改主页阐明

隐魂木马挖矿战略设置装备摆设

4. 外挂鬼魂团伙

2018年10月腾讯御见表露了外挂鬼魂团伙,首要经过七哥辅佐网()、我爱辅佐网()等多个游戏辅助工具(外挂)网站传布“双枪”、“紫狐”等木马。

这些网站供应的多款游戏外挂东西中被绑缚多个恶意程序,首要包孕锁主页顺序、“双枪”病毒家族和“紫狐”木马家族等等,两个病毒家族影响了全国数以万计的电脑。

参考链接:

“外挂鬼魂”团伙暴光 系双枪、紫狐两大病毒家族的幕后推手

游戏外挂绑缚的木马

紫狐是一类行使零碎正常”Pending File Rename Operations”机制替代系统文件,完成开机主动启动加载驱动(主动下载软件)的歹意木马,另外木马还会会停止屡次删除替代,来建立屡次历程链完成断链避免查杀,木马运转后会联网下载推行装置软件来获利。

参考链接:

魔域私服辅助隐藏

“紫狐木马”暴力来袭

安装文件

双枪木马是一类会传染MBR及VBR的Bootkit病毒家族,2018年8月电脑管家监测到该家族新变种,多个外挂网站会传布双枪木马,包孕屠城社区、七哥辅佐网等,这些网站供应的多款游戏外挂顺序中会绑缚装置一款名为“高兴输入法”的违规软件,“双枪”木马下载器就潜藏在这款输入法中。

中毒电脑的浏览器主页被锁定为带有“39201”计费编号的网址导航站,同时“双枪”木马变种还会在零碎预留后门以盗取用户敏感信息,别的会堵截主流杀毒软件的联网功用,会形成杀毒软件晋级更新、下载病毒库、下载附加组件、云查杀等等要害功用均被破损。

参考链接:

“双枪”木马专攻游戏外挂玩家,锁定主页强推开心输入法

双枪木马传染流程

5. 血狐木马

血狐木马经过二次打包并借用第三方渠道冒充传奇微端传布,携带正轨白签名,且签名厂商直接假装国际某著名游戏公司,以此取得渠道商的信赖,并由于具有正当数字签名而轻易诳骗杀毒软件。

当用户在电脑装置这个冒充的传奇微端时,病毒随即释放装置血狐Rootkit。当中毒电脑用户启动浏览器接见搜索引擎网站和电商网站时,浏览器URL均被劫持到含病毒作者推行ID的链接,至此,中毒用户的每次接见,均会给病毒作者带来佣金支出。

参考链接:

“血狐”病毒假装传奇微端

魔域私服辅助隐藏

参考资料

盗版Ghost零碎携“独狼”Rootkit来袭,锁定浏览器主页超20款

Rootkit病毒“独狼2”冒充激活东西传布,锁定23款浏览器主页

酷玩游戏盒子捏造著名公司数字签名,传布Steam盗号木马

“藏匿者”病毒团伙技术升级传布病毒

弱口令爆破SQL Server服务器,暗云、Mykings、Mirai多个病毒家族结伴来袭

“隐蜂”来袭:全球首例Bootkit级挖矿僵尸收集

“隐魂”木马窜改主页阐明

“外挂鬼魂”团伙暴光 系双枪、紫狐两大病毒家族的幕后推手

“紫狐木马”暴力来袭

“双枪”木马专攻游戏外挂玩家,锁定主页强推开心输入法

“血狐”病毒假装传奇微端

本期总结援用多篇友商原创材料,在此深表感激!

相关文章:361魔域辅佐 绿色免费版361魔域私服辅佐

详细信息

361魔域辅佐是一款针对同名游戏所推出的点窜软件。合26星XO、28星XO、30星XO副宠不卡包、主动跑商、主动合远古,进步稳定性,增添一键买卖、主动摆摊、主动吃侥幸转世、主动挂机等功用、增添仓库取阳光包。有良多魔域玩家都想要好用的辅佐剧本,撑持一些功用,比方主动合远古、跑商、摆摊、挂机等等,那末你目下当今就下载这款软件吧,该有的功用都有。喜好的用户接待在星谷下载体验!

【功用特色】

1、最新361MY公用内存版,绿色外卦,无毒,无劫持,无反常功用

2、合26星XO、28星XO、30星XO副宠不卡包、主动跑商、主动合远古,进步稳定性,增添一键买卖、主动摆摊、主动吃侥幸转世、主动挂机等功用、增添仓库取阳光包。

相关文章:游戏外挂检测和反检测

关于游戏外挂检测和反检测(真正的防封手艺)

在网上找到篇关于游戏外挂检测和反检测的文章拿来跟断点的朋侪分享。具体文章见附件,这里写些简介。

一:内存探测法

服务器发送个Paket检测游戏内存,然后前往服务器。这对游戏公然的挂要挟大。

魔域私服辅助隐藏

反侦测根基思惟是阻挡Peket,前往假装Peket。

二:DLL扫描

游戏反外挂零碎(Module32First/Module32Next)扫描游戏中的DLL,前往。

反侦测思惟是DLL潜藏。

三:历程扫描

游戏反外挂零碎(Process32First/Process32Next)扫描用户历程,前往。

反侦测思惟也是历程潜藏(如将外挂历程注入到游戏历程)

四:窗口扫描

游戏反外挂零碎(EnumWindows)扫描历程窗口,前往。这首要针对有GUI界面的外挂(外挂都有)

反侦测思惟是随机发生窗口类名和窗口名。(目下当今良多外挂都能做到这点)

暴雪和黑客的和平(游戏外挂与反外挂)BZ加亮

[ sell=5][/sell][ post]如前一篇文章所说,D2X中hacks的开展大约可以分为三个阶段,,。

()为止,D2X中几近没有做弊检测机制,这一时期是hacker们最幸福的期间。说没有是因为它没有专门的检测代码,而说几近没有是因为它有些机制照旧可以用来做做弊检测用处的。

一处是它的主动晋级机制。在战网上玩过的玩家都晓得,每次连到战网的时辰,会有一个对话框提醒正在搜检游戏版本,若是用户本机和服务器端额版本不分歧的话,主动停止晋级。Diablo的主动晋级功用在游戏业界能够是创始,这大大降低了游戏的上手难度。我接触过很多本国玩家,跟国际玩家分歧的是,他们中良多人都是一些15岁不到的小孩,让他们本人从网上下载补丁包晋级几近是不能够的事。主动晋级的进程以下:

1,玩家连到战网;

2,服务器端发送一个专门用于版本搜检的DLL到客户端;

3,客户端在本机留存该DLL;

4,客户端挪用LoadLibrary加载DLL

5,客户端挪用该DLL导出的一个函数。该函数经过较量争论几个主要的客户端游戏文件的校验判定版本是不是婚配,不婚配则做主动晋级。

6,客户端版本检测终了,挪用FreeLibrary卸载DLL并删除文件。

在这个进程中,因为版本搜检DLL留存在服务器端,因而明显它能够会被随时点窜,增添一些其他功用,如做弊检测。从版本检测相关代码(见文末)挪用的Win32 API,LoadLibraryA/GetProcAddress/FreeLibrary/DeleteFileA,可以大致看出这一进程。

别的一处不为人知的机制是,在玩家连上战网后,服务器端有时(不是必然会发,并且发送机遇也不肯定)会发送一个DLL ()到客户端运转,然后把效果前往给服务器端,其任务道理和版本检测机制的任务道理特别很是雷同。明显这个机制也可以用于做弊检测。不外凭据良多hacker观测的效果,,包孕CPU主频、内存容量、操作系统版本等。

固然这两点机制都能够用于做弊检测,,没有迹象评释暴雪行使了这点,因而在这一时期泛起的hacks也都没有响应的反检测办法。

版本检测的相关代码:

XXXX45A3 lea ecx, [esp+124h]

XXXX45AA push ecx ;

XXXX45AB call ds:LoadLibraryA

XXXX45B1 mov ebp, eax

XXXX45B3 test ebp, ebp

XXXX45B5 jz loc_6FF046F1

XXXX45BB push offset aCheckrevision ; “CheckRevision”

XXXX45C0 push ebp ; hModule

XXXX45C1 call ds:GetProcAddress

XXXX45C7 mov esi, eax

XXXX45C9 test esi, esi

XXXX45CB jnz short loc_6FF045DF

魔域私服辅助隐藏

XXXX45CD push offset aErrorFailedT_0 ; “

XXXX45D2 call nullsub_1

XXXX45D7 add esp, 4

XXXX45DA jmp loc_6FF046EA

XXXX45DF loc_XXXX45DF:

;……

XXXX46E6 call esi ; CheckRevision

魔域私服辅助隐藏

XXXX46E8 mov ebx, eax

XXXX46EA

XXXX46EA loc_XXXX46EA: ; CODE XREF: DownloadAndRunVersioningDLL+15A j

XXXX46EA push ebp ; hLibModule

魔域私服辅助隐藏

XXXX46EB call ds:FreeLibrary

XXXX46F1

XXXX46F1 loc_XXXX46F1: ; CODE XREF: DownloadAndRunVersioningDLL+F3 j

XXXX46F1 ; DownloadAndRunVersioningDLL+11E j …

XXXX46F1 mov eax, [esp+430h+hArchive]

XXXX46F5 pop ebp

XXXX46F6 test eax, eax

XXXX46F8 jz short loc_XXXX4700

XXXX46FA push eax ; hArchive

XXXX46FB call Storm_252_SFileCloseArchive

XXXX4700

XXXX4700 loc_XXXX4700: ; CODE XREF: DownloadAndRunVersioningDLL+278 j

XXXX4700 push 32h ; dwMilliseconds

魔域私服辅助隐藏

XXXX4702 call ds:Sleep

XXXX4708 mov esi, ds:DeleteFileA

XXXX470E push offset g_szVersionDLLName ; lpFileName

XXXX4713 call esi ; DeleteFileA

XXXX4715 mov al, [esp+42Ch+FileName]

XXXX471C test al, al

XXXX471E jz short loc_XXXX472A

魔域私服辅助隐藏

XXXX4720 lea eax, [esp+42Ch+FileName]

XXXX4727 push eax ; lpFileName

XXXX4728 call esi ; DeleteFileA

暴雪在WOW开辟的前期,终究可以腾出人手来晋级延续了2年之久的D2X 。,暴雪感觉有需要进攻一下这类猖狂的气势,因而到场了hacks检测机制, 64/65检测。

何谓packet?packet即收集数据包,D2中服务器端和客户端之间的交互是经过相互发送packet停止的。D2中的packet又分为out-of-game(进入游戏前)packet和in-game(游戏内)packet两种,这里提到的都是in-game packet。in-game packet的第一个字节为packet ID,唆使该packet的寄义,接着的是响应的(可变长)参数。比方ID 01代表walk饬令,长度为5字节,ID前面跟两个16位参数,唆使walk的目标坐标,因而它的花样为:01 [WORD x] [WORD y]。需求注重的是D2中分歧patch版本的packet ID寄义是不一样的,不克不及通用。 packet列表可以在这里找到:

跟hacks检测有关的是packet 64和65。packet 64长度是9字节,花样为:64 [DWORD address 1] [DWORD address 2],前面的两个DWORD是服务器端想检测的两个内存地址;packet 65长度为1字节(没有参数),搜检4个最有能够被patch的地址。packet 64/65的搜检效果颠末复杂的搅浑处置惩罚(增添sniffer抓包阐明的难度)后发送回服务器端,若是被检测地址里的指令或数据被悔改,检测效果天然就和本来的不符,因而暴雪就晓得你在用hack。这类检测方式就是所谓的memory probe,即内存探测法。那暴雪怎样晓得应当检测哪些地址呢?hack的detour patch(旁路点)是固定的,像maphack和d2jsp这类闻名的公然刊行的hack,暴雪固然会拿来研讨因而也会晓得它们patch了哪些地方。至于那些本人开辟自娱自乐的,暴雪是没法晓得的,因而绝对平安点儿。可是若是你的patch点正好和maphack、d2jsp这些沟通,那照旧有能够不幸中标。

以下为packet 64检测中的相关代码片段,此中eax和ecx离别为两个待检测的内存地址,检测效果离别存入局部变量var_result1和var_result2中随后发送回服务器端:

.text:XXXXF362 $CHECK_RESULT1: ; CODE XREF: CheckDetectionResult+87 j

.text:XXXXF362 cmp eax, esi ; not zero

.text:XXXXF364 jz short $CLEAR_RESULT1 ; Jump if Zero (ZF=1)

.text:XXXXF366 mov [ebp+arg1], esi

.text:XXXXF369 mov eax, [eax]

.text:XXXXF36B mov [ebp+var_result1], eax

.text:XXXXF36E mov [ebp+arg1], -1

.text:XXXXF375 jmp short $CHECK_RESULT2 ; Jump

.text:XXXXF39B $CHECK_RESULT2: ; CODE XREF: CheckDetectionResult+A5 j

.text:XXXXF39B ; CheckDetectionResult+C4 j

.text:XXXXF39B cmp ecx, esi ; Compare Two Operands

.text:XXXXF39D jz short $CLEAR_RESULT2 ; Jump if Zero (ZF=1)

.text:XXXXF39F mov [ebp+arg1], 1

魔域私服辅助隐藏

.text:XXXXF3A6 mov ecx, [ecx]

.text:XXXXF3A8 mov [ebp+var_result2], ecx

.text:XXXXF3AB mov [ebp+arg1], -1

.text:XXXXF3B2 jmp short $SEND_DETECT_RESULT ; Jump

packet 65的检测代码和packet 64雷同,除它检测的是几个固定地址。

packet 64/65的memory probe机制,,就组成了暴雪在Diablo II patch中采取的hacks检测机制。

下图显示了d2jsp (d2jsp II ,但意思是一样的)。

,在某种程度上直接致使了本来调和的D2X游戏黑客社群的盘据。一部分出于对检测机制的顾忌,住手更 新本人的作品,如d2hackit;另一部分则把他们的hack具有的反检测功用当做卖点最先免费,如d2maphack和d2jsp;还有一部分黑客出 于不满最先建造这些免费hacks的替代品,如d2hackmap,C3PO,d2bs等;乃至有些黑客出来破解这些免费hacks。

魔域私服辅助隐藏

如前一篇文章所说, 64/65检测。最早发布packet 64被用作hack检测的是jhj。固然Mousepad在jhj之前就已晓得这一点,可是他那时正筹算对maphack免费,反检测是一大卖点,因而一 直没有发布。在jhj发布了他的发明后,我搜检了相关代码,又发明了packet 65也被用作hack检测。

魔域私服辅助隐藏

如前文的阐明,packet 64/65检测用的都是memory probe方式,那末memory probe该怎样凑合呢?一种复杂的设法是在客户端截获packet 64/65检测,不让它前往检测效果。截获packet 64/65检测思绪是对的,但不前往检测效果其实也是一种信息,暴雪完整能够凭据这点判定你在利用hacks,最不济也会把你踢下线,明显不是好的做法。 凑合memory probe,更好的做法是伪造检测效果。这需求截获packet 64/65检测,然后凭据要检测的内存地址前往该地址被点窜前的数据(若是已被点窜了的话),如许不管检测哪一个地址,检测效果都和没有利用hacks时 的一样。

详细到完成方式,大约又有三种。

一种是hack在装置旁路点时,先留存本来的数据,如许在碰到检测时就能晓得patch前的数据。利用这类方式的有d2maphack、d2jsp等。这类方式最复杂,完成起来也轻易,占用额定内存也不大。瑕玷只能珍爱本人,不克不及珍爱其他hacks。

第二种方式由jhj完成,其道理是在加载任何hack之前,先对游戏中用到的主要的dll做备份,如许就取得了这些dll洁净的正本。然后截获 packet 64/65检测进口,凭据检测地址,从洁净的正本中前往响应的数据。这就是jhj在 。这类方式最大的长处是通用,可以珍爱其它hacks-其他hack不需求有任何反检测办法就能避 开检测。可是这类完成也有不小的缺点。其一是它必需抢在其他一切hack之前加载,不然没法取得洁净正本-若是没法取得洁净正本这类方式就完整得到意义- 这在有些环境下是不轻易做到的,比方无人职守的BOT。其二是一切主要的dll都要备份,这会额定损耗很多内存,对机器配置差或多开BOT的玩家有很大 影响。,而不是一切dll,如许若是有的hack点窜的dll不在它的珍爱局限,照旧有 能够被抓到。

第三种方式由我完成,称之为模块重建法(module re-construction),起首在d2hackmap中完成,后来ABin晋级d2hackit时请我帮手完成anti-detection模 块,因而我又把它集成进了d2hackit 。这类方式的思绪是截获packet 64/65检测进口(明显一切反检测方式都需求这一步),凭据检测地址判定出方针模块称号和其在硬盘文件途径,然后从该模块的硬盘文件最先重建一份洁净的 正本,最初从洁净的正本中前往响应的数据。这类方式在没有检测流动时( 64/65检测很少泛起)不会损耗额定内存,可珍爱一切dll,也无需争先加载。我团体感觉是一种对照抱负的方式。固然,模块重建法的难点在于若何从一个 dll文件重建一份和已加载模块被点窜前完整一样的正本(其实是代码段和只读数据段完整一样,读写数据段无所谓),这在当前的文章中应当有时机引见到。

别的,除packet 64/65检测,。 未被用作hack检测,,因而也不能不防。回忆一下这两处机制,因为这两个dll都寄存在服务器端,必 要时发送到客户端运转并前往效果。不让它们运转明显是不可的。而且明显它们的检测手腕也是有限、未知的,伪造检测效果也不可行。那该怎么办呢?

凑合这类手腕的一种对照无效的方式是,截取并留存尽量多的从服务器端传过来的dll,一一阐明,标出平安的和不平安的,并对每一个dll竖立签名 (signature)。如许在每次客户端领受到dll时,先较量争论出其签名然后和已事前阐明过的一切dll签名对照,如许就可晓得该dll安不平安(即能 否检测出我的hack),若是平安则让它履行,若是不平安则hack会本人卸载,然后再让该dll履行。如许就不会被它抓到。别的对未知模块(即该 dll的签名不在列表里),应当把它留存上去以供预先阐明,同时为保平安hack本人卸载,在当前阐明后再把它标识为平安或不平安。固然对不平安的模块 还应进一步研讨反检测方式然后把它标为平安模块。d2maphack、d2jsp接纳的都是这类战略。d2hackmap因为我后来没有太多精神人工阐明 这些模块,因而只在配置文件里设置开关变量,唆使d2hackmap碰到这些模块时若何处置惩罚(有疏忽、卸载本身、留存模块文件并卸载本身三种选择)。至于 。事实证明这类战略是对照无效的。一个能够的缘由是因为设计所限,这类发送dll 检测机制尚不具有疾速变形、频仍运转的才能。

转载请注明:魔域私服发布网 » 魔域私服辅助隐藏!盘一盘2018年那些难缠的固执病毒木马

发表我的评论
取消评论
表情