简单谈谈“游戏圈”所谓的神乎其技的行为检测(4)
接续上篇 第三篇~先补充点检测技巧
很多人会注意到检测扫描中的进程,模块,窗口的扫描(大部分写检测的人都觉得这些就ok了),但是不会注意到可以通过扫描本地TCP连接信息来检测——比如某辅助会连接固定登录验证服务器(ip?端口?),于是服务器上添加一个扫描特征,完爆之,以后只要是这个服务器的辅助直接就是不解释封号...
接着进行本篇的部分,上次继续讲了通过call的辅助的检测,这次就不讲它了,我换个话题,讲讲一直以来被很多人推崇的模拟设备操作的辅助的检测。
首先对后台模拟按键的检测
有两种后台模型,一种是消息的,不过估计现在已经绝种了,是个游戏公司开发都会dinput了。
一种是dinput里做手脚,两者检测方式一样,直接用GetKeyState结合GetForegroundWindow爆菊花(通过其他方式获取按键状态和窗体位置层次信息一样可以哦)——检测出来不封号,直接服务器留个记录,等那天高兴了再封。
接着就是纯前台的SendInput或者驱动(NTIO也算是驱动吧)模拟的,这种其实很不好检测,在32位系统里通常是通过内核hook来进行处理的,但是对于64位系统或者重载内核绕过hook的情况则需要一些新的小技巧就是记录按键点击的相对坐标,一般模拟辅助的点击坐标都是非常稳定的,然后通过一组特征来检测,不过这里已经涉及超出本篇的内容了——必须抓到样本才可以了。
第四篇有点水,第五篇尽量就来点不水的内容。
页:
[1]