简单绕过EAC反作弊检测分析【1】
Easy Anti Cheat,嗯,众所周知!
EAC 是一个内核反作弊 “系统”,它可以检测任何东西。
想要欺骗它,你必须先加载一个内核驱动程序,然后才能防止它。
以下是它的常用手段:
阻止与游戏进程的所有交互
扫描所有进程与模块
扫描已知的可疑DLL模块
扫描已知的可疑驱动程序
扫描所有打开的句柄的列表降权处理
检测自身回调是否被挂钩
扫描磁盘和设备
记录所有加载的驱动程序
收集 HWID 信息
检测调试器
查找手动映射的驱动程序
检测手动映射的驱动程序跟踪
检查内核补丁
查找物理内存的句柄
使用虚拟保护检测模块
从没有实际模块支持的区域转储可疑字符串
扫描未由模块支持的区域中可能的 syscall 存根(已编辑)
执行窗口枚举以检测可疑叠加
枚举可疑的共享内存部分
检测挂钩
检查所有服务
扫描所有线程和系统线程
堆栈
检测手动映射的模块
驱动器加载器检测
虚拟机监控程序和虚拟机检测
DbgUiRemoteBreakin
PsGetProcessDebugPort
读取 DR6 和 DR7
检测各种你注册的回调
简单地说EAC清楚的知道你是谁,禁止你只是迟早的事情,注册表信息记录如下:
HKEY_LOCAL_MACHINE\Hardware\Description\System\CentralProcessor\0
1.SystemProductName
HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\Scsi\Scsi Port 0\Scsi Bus 0\Target Id 0\Logical Unit Id 0
1.Identifier
2.SerialNumber
3.SystemManufacturer
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SystemInformation
ComputerHardwareId
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\BIOS
1.BIOSVendor
2.BIOSReleaseDate
3.ProductId
4.ProcessorNameString
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Class{4d36e968-e325-11ce-bfc1-08002be10318}\0000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
1.InstallDate
2.DriverDesc
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate
1.SusClientId
以及没有列出的其他信息。。。。。。
用户模式基本挂钩:
ID Type API APIAddress ChangeByte OriinaByte
1 len[16] Inline ntdll.dll->DbgUiRemoteBreakin 0x7FF9A4F582C0 6A 00 6A FF E8 F7 B9 FC FF 60 00 00 00 80 78 02 48 83 EC 28 65 48 8B 04 25 60 00 00 00 80 78 02
2 len[8] Inline KERNEL32.DLL->CreateProcessA 0x7FF9A37EA7E0 E9 A7 5A E6 FE EC 58 48 4C 8B DC 48 83 EC 58 48
3 len[8] Inline KERNEL32.DLL->CreateProcessW 0x7FF9A37EAAB0 E9 97 57 E6 FE EC 58 48 4C 8B DC 48 83 EC 58 48
4 len[8] Inline KERNEL32.DLL->FreeLibrary 0x7FF9A37EA650 E9 B7 5B E6 FE 06 00 CC 48 FF 25 A9 60 06 00 CC
5 len[8] Inline KERNEL32.DLL->LoadLibraryA 0x7FF9A37EF500 E9 C7 0C E6 FE 06 00 CC 48 FF 25 29 12 06 00 CC
6 len[8] Inline KERNEL32.DLL->LoadLibraryExA 0x7FF9A37ED680 E9 C7 2A E6 FE 06 00 CC 48 FF 25 01 30 06 00 CC
7 len[8] Inline KERNEL32.DLL->LoadLibraryExW 0x7FF9A37E93F0 E9 17 6D E6 FE 06 00 CC 48 FF 25 F1 72 06 00 CC
8 len[8] Inline KERNEL32.DLL->LoadLibraryW 0x7FF9A37EE880 E9 07 19 E6 FE 06 00 CC 48 FF 25 B1 1E 06 00 CC
9 len[8] Inline KERNELBASE.dll->ResumeThread 0x7FF9A27DB2A0 E9 29 4E E7 FF 8D 54 24 48 83 EC 28 48 8D 54 24
公开学习交流群:179178187
简单绕过EAC反作弊检测分析【1】相关推荐
- 绕过EAC 简单的反作弊
Easy Anti Cheat可能是最流行的内核反作弊,它被用在许多游戏中,它比Battleye更好,因此更难绕过.如果你想绕过它,你还必须有一个内核驱动程序.如果游戏有简单的反作弊,您将无法注入,请 ...
- 爱奇艺流量反作弊的“术”与“道”
爱奇艺流量反作弊的"术"与"道" 本文根据爱奇艺张晓明老师在DataFun Talk大数据风控系列活动中分享的<爱奇艺流量反作弊的"术" ...
- 回顾·爱奇艺流量反作弊的“术”与“道”
作者:张晓明 整理:DataFun社区 社区公众号ID:datafuntalk 今天主要从以下几个方面介绍,首先介绍下流量反作弊相关的介绍,然后是爱奇艺流量反作弊的"道",爱奇艺流 ...
- vivo 游戏黑产反作弊实践
作者:vivo 互联网安全团队 - Cai Yifan 在数字化.移动化的浪潮下,游戏产业迅速发展,尤其疫情过后许多游戏公司业务迎来新的增长点. 游戏行业从端游开始一直是黑灰产活跃的重要场景.近年来, ...
- APP渗透—绕过反代理、反证书检测
APP渗透-绕过反代理.反证书检测 1. 前言 1.1. 无法获取数据包情况 2. 反代理 2.1. 反代理情况 2.1.1. 某牛牛反代理 2.1.2. 某探反代理 2.2. 绕过反代理 2.2.1 ...
- 基于飞桨的智能课堂行为分析与考试作弊检测系统
智慧课堂:基于飞桨的智能化课堂 本项目主要实现了课堂专注度分析与考试作弊检测两个功能,通过对学生的姿态检测,可以有效的辅助老师有效监督学生的学习上课情况,对学生的上课行为进行分析及评分,避免出现课堂不 ...
- 二、C++反作弊对抗实战 (进阶篇 —— 14.利用内存加载+重定向绕过inline iat hook)
下面是成功绕过inline hook的运行效果: 一.前言 在前面的章节中讲述了inline hook.iat hook.seh/veh hook等原理以及代码实现,也在讲述inline hook时顺 ...
- eac 反调试_自己动手制作一个过保护调试器
一.起因 本人是新手第一次接触驱动开发的小白,事情是这样的,一个星期前突发奇想想做一个调试器保护程序用于调试游戏,既然要调试驱动保护的程序,自然也要深入驱动底层.做调试器必须要hook api去隐藏调 ...
- 技术揭秘 | 互联网广告黑产盛行,如何反作弊?
简介:有人的地方就有江湖.广告作为互联网公司商业变现最为直接快捷的途径,广告作弊已经形成了一个有完整链条的黑产行业.如何通过技术手段识别并防范广告作弊?本文通过介绍常见的广告计费模式和虚假流量的获益形 ...
最新文章
- 转:从零开始做app需要做的事情列表
- Intel 6系列芯片组设计缺陷 全球出货暂停
- 周立功:专注的力量成就梦想
- WdOS系统上samba服务的基本配置
- iOS-pushMeBaby经典错误解决
- Hive将查询结果保存到另一张表中
- php不能加载extension的奇怪问题
- [python opencv 计算机视觉零基础到实战] 一 opencv的helloworld
- PU-Net: Point Cloud Upsampling Network
- 通俗演义TCP流量控制
- java execlp_Linux下的C程序,使用函数execlp运行Shell命令
- oracle ebs采购申请接口表,Oracle EBS BOM接口表操作.doc
- Nginx实战基础篇七 最新源码包通过脚本部署LAMP搭建Discuz论坛
- 实现OPEN 哈希表模板类
- 服务器上qq邮件不能打开方式,qq邮箱打不开解决方法汇总
- UEFI 是什么?硬盘的EFI分区? .efi格式的文件?UEFI 标准定义了一种可执行文件格式:efi格式
- SPL:self-paced learning 自步学习
- linux修改时区时间est->cst
- 团队博客-第二周:需求规格说明书(科利尔拉弗队)
- python \xe6\xb5解码