現(xiàn)在大部分的主流外掛,包括按鍵精靈�,自動做一些動作之類的外掛���。 都是通過HOOK進游戲窗口����,并且用不同的HOOK類型來完成的����,比如對于 網(wǎng)絡(luò),通常是通過HOOK消息���,把DLL弄到我們的游戲程序中,然后通過
GetProcAddress得到DLL中它們卑劣的函數(shù)的地址和真實的函數(shù)地址���, 然后通過WriteProcessMemory來把我們的函數(shù)地址改成他們他們的API 地址。
那么在我們的游戲執(zhí)行的時候����,收到消息就會先觸發(fā)他們的鉤子����,等他們布置好邪惡的陷阱����,然后再執(zhí)行我們的程序����。那么,對于這類型的外掛,該怎么防呢?俗話說得好����,以彼之道���,還制彼身�。所謂魔高一尺�,道高一丈。所謂邪不勝正。所謂天網(wǎng)恢恢�。所謂做賊心虛����。
恩���,WINDOWS的鉤子有個特點,就是鉤子鏈,因為對于同一個進程,即使是同一類型的鉤子,能同時有多個,也就是說���,對于同一個游戲,開兩個功能相同的外掛也可以。那么���,怎么樣來決定鉤子的順序呢?所謂
后來者先得�,WINDOWS的做法是����,最后一個HOOK某個進程的鉤子最先執(zhí)行���。并且振奮人心的消息是����,在鉤子里面可以控制下一個鉤子是否執(zhí)行����。
這個函數(shù)是CallNextHookEx,也就是說,如果在某個鉤子里面不執(zhí)行這個函數(shù)的話,鉤子鏈就會在這中斷����,那么我們的思路就很簡單了���,在游戲運行中�,開一個進程���,每隔一段時間就hook我們的主程序�,然后在鉤
子里面,不執(zhí)行CallNextHookEx�,這樣就可以避免別人的鉤子執(zhí)行����。
所謂���,僅僅發(fā)現(xiàn)敵人還不夠���,還要消滅敵人����。不急,我們來看看如何徹底把敵人打成粉碎性骨折。恩����,要消滅敵人就要復雜一點了���,要針對不同類型的鉤子來采取不同類型的方法了,因為敵人的鉤子不管怎么做����,
無非是出于兩種目的���,一種是修改數(shù)據(jù)�,另外就是過濾數(shù)據(jù)����。其核心思想就是我們自己的游戲注冊兩個鉤子,一個總是在鉤子鏈的最底層����,另外一個總是在鉤子鏈的最上層����,一比較兩個鉤子收到的消息����,就知道中
間有沒有別的鉤子了。一但發(fā)現(xiàn)有別的鉤子���,不用想了,肯定是外掛���,最少也用了按鍵精靈����,封號����,殺檔,想怎么干就怎么干���。
當然���,敵人也不是這么脆弱的�,據(jù)說有人用raw socket來截獲所有的網(wǎng)絡(luò)消息,這個跟鉤子無關(guān)�,這個更底層一些���。不過不用怕����,俗話說得好�,以彼之道,還制彼身���。所謂魔高一尺,道高一丈����。所謂邪不勝正���。所謂
天網(wǎng)恢恢���。所謂做賊心虛���。對付攔截raw socket的外掛���,這里首先要把敵人分類�,對于水平最次的敵人����,方法也相應(yīng)要簡單得多���。 最次的敵人一般用的方法是自己寫一個wsock32.dll放在和游戲相同的目錄下����,來替換掉系統(tǒng)的wsock32.dll。對于這種愚蠢的方法���,解決的辦法有很多,把load time的載入wsock32.dll改成run time的載入�,然后指定一下路徑����,就什么問題都沒有了���。更簡單點���,運行游戲的時候檢查一下當前目錄下有沒有wsock32.dll�,有的話,那就肯定是外掛鉤子了。
比最等級高一點點的敵人,會喜歡用鉤子來直接鉤,一般的做法是,先通過GetProcAddress來獲取SOCKET API的地址����,然后通過WriteProcessMemory的方法來修改入口地址����,將其改成jmp 自己的函數(shù)地址����。這種方法其實很卑劣的,所謂無毒不丈夫�,我們可以通過修改通用的GetProcAddress的代碼來防止別人攔截SOCKET�,這樣�,直接連防火墻都可以突破了���。
這里的技術(shù)難點在于,我們不能用類似WriteProcessMemory的方法來寫內(nèi)存因為我們不知道究竟外掛是哪個進程���,所以我們需要修改WINDOWS的代碼段,這樣講理論上是不可能的����,可惜WINDOWS自己給自己留了個后門�,在kernel.dll 里面����,UINT AllocCsToDsAlias(UINT),通過把API的代碼段的選擇符傳給它,可以返回一個可以寫的數(shù)據(jù)段的選擇符����,然后把新的選擇符和API的入口地址加在一起���,就可以得到一個可以寫的代碼段的指針���。
國內(nèi)好多取詞軟件和全屏翻譯軟件都是用的這個原理����,具體的例子如下:
比如GetProcAddress這個API�,在kernel.dll里面,我們要做針對它的通用鉤子就應(yīng)該按照以下的步簇:
typedef UINT (WINAPI* FOO)(UINT);
FOO AllocCsToDsAlias;
HMODULE hKernel = GetModuleHandle("kernel");
AllocCsToDsAlias = (FOO)GetProcAddress(hKernel, "AllocCsToDsAlias");
FARPROC entry = GetProcAddress(hKernel, "GetProcAddress");
WORD offset = (WORD)(FP_OFF(entry));
UINT selector = AllocCsToDsAlias(FP_SEG(entry));
BYTE *addr = (BYTE *)MK_FP(selector, offset);
然后就可以往addr這個地址寫5個BYTE的東西�,第一個BYTE是jmp�,不同的CPU 可能會不同�,之后的一個DWORD是你的函數(shù)的地址。�。
這樣����,可以通過保存兩份addr的數(shù)據(jù)來做到鉤子的開關(guān)����,當鉤子打開的時候�,所有的GetProcAddress的調(diào)用都會調(diào)到我們的函數(shù),這個時候可以通過檢查如果有人想GetProcAddress wsock32.dll里的東西���,我們就干掉它。����。
同樣���,如果有人通過開啟socket這個API的SOCK_RAW參數(shù)來調(diào)用RAW SOCKET監(jiān)視網(wǎng)絡(luò)�,我們也可以通過上面的方法來做到先入為主�,看誰在監(jiān)視我們的網(wǎng)絡(luò)傳輸。
其實查外掛的原理和捉病毒的原理一樣�,只是現(xiàn)在做外掛的技術(shù)還不成熟�。當做外掛的技術(shù)和防外掛的技術(shù)在同一條線上的時候���,想從技術(shù)上防住外掛是不可能的���。
其實是無奈�,殺毒軟件的做法是出來一種新的病毒,在第一時間內(nèi)公布其特征碼�,然后更新所有的客戶端����,看到這種特征的���,就殺���。其實查殺外掛也該如此�,其實CS的Cheating-Death就是這個原理,不管出了什么新的外掛����,CD 總是在第一時間內(nèi)更新�,然后客戶端也就傻傻的只要一看到有這個特征的東西就把它干掉����。其實仔細想想,這是個很好的主意����,從外掛開發(fā)商的動機來分析�。他們之所以要開發(fā)外掛���,估計炫耀技術(shù)是一方面���,更重要的還是想賺錢�,或者用來掛機之類的,既然要賺錢�,或者掛機���,就必然會被其他玩家發(fā)現(xiàn)或者舉報�,這個時候應(yīng)該做的就是盡快的下載一份外掛�,或者根據(jù)其行為研究其特征,并在防外掛的特征碼上記下一筆����,其實不用太復雜����,最簡單的做法就是記住其外掛窗口的名稱�,然后只要看到這個外掛窗口,做些處理就好了。
那么這樣一來,關(guān)鍵的技術(shù)就落在如何設(shè)計查外掛這個結(jié)構(gòu)上了����,首先客戶端需要的是一個查外掛引擎���,和一個外掛特征庫����,根據(jù)引擎和特征庫生成一個固定的版本號����,然后每次登陸的時候就用這個版本號�,跟服務(wù)器上的版本號對比,如果不一樣的話,則從服務(wù)器自動下載最新的查外掛引擎和外掛特征庫���。
這樣雖然不能將外掛趕盡殺絕,卻能比較大的限度上圍剿使用外掛的風氣,相信使用外掛的玩家也只是想更好的玩游戲���,只不過動的念頭有些歪了,但其出發(fā)點仍是好的,只要在他使用外掛的時候多些阻攔或者誘導他不使用外掛,這樣效果就會好很多���。設(shè)想一下,誰愿意每天等一個外掛的更新,而不去玩他很想玩的游戲呢����。這樣一來�,制作外掛的人也會逐漸減少����,從而進入一個良性循環(huán)。
就好象如今寫病毒�,并不如當年那么流行了����。�。-。-