現在大部分的主流外掛,包括按鍵精靈����,自動做一些動作之類的外掛����。 都是通過HOOK進游戲窗口�����,并且用不同的HOOK類型來完成的��,比如對于 網絡,通常是通過HOOK消息��,把DLL弄到我們的游戲程序中����,然后通過
GetProcAddress得到DLL中它們卑劣的函數的地址和真實的函數地址�����, 然后通過WriteProcessMemory來把我們的函數地址改成他們他們的API 地址��。
那么在我們的游戲執行的時候����,收到消息就會先觸發他們的鉤子�����,等他們布置好邪惡的陷阱����,然后再執行我們的程序�����。那么��,對于這類型的外掛,該怎么防呢��?俗話說得好��,以彼之道�����,還制彼身。所謂魔高一尺�����,道高一丈��。所謂邪不勝正�����。所謂天網恢恢����。所謂做賊心虛����。
恩,WINDOWS的鉤子有個特點����,就是鉤子鏈����,因為對于同一個進程�����,即使是同一類型的鉤子����,能同時有多個��,也就是說����,對于同一個游戲����,開兩個功能相同的外掛也可以�����。那么�����,怎么樣來決定鉤子的順序呢����?所謂
后來者先得��,WINDOWS的做法是��,最后一個HOOK某個進程的鉤子最先執行。并且振奮人心的消息是,在鉤子里面可以控制下一個鉤子是否執行��。
這個函數是CallNextHookEx����,也就是說,如果在某個鉤子里面不執行這個函數的話�����,鉤子鏈就會在這中斷��,那么我們的思路就很簡單了����,在游戲運行中�����,開一個進程,每隔一段時間就hook我們的主程序����,然后在鉤
子里面�����,不執行CallNextHookEx,這樣就可以避免別人的鉤子執行�����。
所謂�����,僅僅發現敵人還不夠�����,還要消滅敵人����。不急�����,我們來看看如何徹底把敵人打成粉碎性骨折。恩�����,要消滅敵人就要復雜一點了��,要針對不同類型的鉤子來采取不同類型的方法了����,因為敵人的鉤子不管怎么做����,
無非是出于兩種目的,一種是修改數據��,另外就是過濾數據����。其核心思想就是我們自己的游戲注冊兩個鉤子�����,一個總是在鉤子鏈的最底層,另外一個總是在鉤子鏈的最上層��,一比較兩個鉤子收到的消息�����,就知道中
間有沒有別的鉤子了��。一但發現有別的鉤子�����,不用想了,肯定是外掛����,最少也用了按鍵精靈��,封號�����,殺檔��,想怎么干就怎么干。
當然����,敵人也不是這么脆弱的�����,據說有人用raw socket來截獲所有的網絡消息����,這個跟鉤子無關,這個更底層一些����。不過不用怕����,俗話說得好����,以彼之道�����,還制彼身��。所謂魔高一尺,道高一丈��。所謂邪不勝正�����。所謂
天網恢恢�����。所謂做賊心虛。對付攔截raw socket的外掛��,這里首先要把敵人分類��,對于水平最次的敵人,方法也相應要簡單得多。 最次的敵人一般用的方法是自己寫一個wsock32.dll放在和游戲相同的目錄下,來替換掉系統的wsock32.dll�����。對于這種愚蠢的方法����,解決的辦法有很多�����,把load time的載入wsock32.dll改成run time的載入�����,然后指定一下路徑,就什么問題都沒有了�����。更簡單點����,運行游戲的時候檢查一下當前目錄下有沒有wsock32.dll,有的話�����,那就肯定是外掛鉤子了��。
比最等級高一點點的敵人��,會喜歡用鉤子來直接鉤,一般的做法是����,先通過GetProcAddress來獲取SOCKET API的地址�����,然后通過WriteProcessMemory的方法來修改入口地址,將其改成jmp 自己的函數地址�����。這種方法其實很卑劣的�����,所謂無毒不丈夫,我們可以通過修改通用的GetProcAddress的代碼來防止別人攔截SOCKET�����,這樣����,直接連防火墻都可以突破了。
這里的技術難點在于����,我們不能用類似WriteProcessMemory的方法來寫內存因為我們不知道究竟外掛是哪個進程����,所以我們需要修改WINDOWS的代碼段����,這樣講理論上是不可能的,可惜WINDOWS自己給自己留了個后門��,在kernel.dll 里面����,UINT AllocCsToDsAlias(UINT)�����,通過把API的代碼段的選擇符傳給它�����,可以返回一個可以寫的數據段的選擇符�����,然后把新的選擇符和API的入口地址加在一起,就可以得到一個可以寫的代碼段的指針��。
國內好多取詞軟件和全屏翻譯軟件都是用的這個原理�����,具體的例子如下:
比如GetProcAddress這個API����,在kernel.dll里面����,我們要做針對它的通用鉤子就應該按照以下的步簇:
typedef UINT (WINAPI* FOO)(UINT);
FOO AllocCsToDsAlias;
HMODULE hKernel = GetModuleHandle("kernel");
AllocCsToDsAlias = (FOO)GetProcAddress(hKernel, "AllocCsToDsAlias");
FARPROC entry = GetProcAddress(hKernel, "GetProcAddress");
WORD offset = (WORD)(FP_OFF(entry));
UINT selector = AllocCsToDsAlias(FP_SEG(entry));
BYTE *addr = (BYTE *)MK_FP(selector, offset);
然后就可以往addr這個地址寫5個BYTE的東西,第一個BYTE是jmp,不同的CPU 可能會不同�����,之后的一個DWORD是你的函數的地址�����。����。
這樣��,可以通過保存兩份addr的數據來做到鉤子的開關,當鉤子打開的時候,所有的GetProcAddress的調用都會調到我們的函數����,這個時候可以通過檢查如果有人想GetProcAddress wsock32.dll里的東西��,我們就干掉它�����。。
同樣��,如果有人通過開啟socket這個API的SOCK_RAW參數來調用RAW SOCKET監視網絡����,我們也可以通過上面的方法來做到先入為主,看誰在監視我們的網絡傳輸�����。
其實查外掛的原理和捉病毒的原理一樣��,只是現在做外掛的技術還不成熟��。當做外掛的技術和防外掛的技術在同一條線上的時候,想從技術上防住外掛是不可能的����。
其實是無奈����,殺毒軟件的做法是出來一種新的病毒����,在第一時間內公布其特征碼,然后更新所有的客戶端��,看到這種特征的��,就殺�����。其實查殺外掛也該如此,其實CS的Cheating-Death就是這個原理����,不管出了什么新的外掛�����,CD 總是在第一時間內更新,然后客戶端也就傻傻的只要一看到有這個特征的東西就把它干掉����。其實仔細想想����,這是個很好的主意�����,從外掛開發商的動機來分析����。他們之所以要開發外掛��,估計炫耀技術是一方面,更重要的還是想賺錢����,或者用來掛機之類的��,既然要賺錢,或者掛機�����,就必然會被其他玩家發現或者舉報����,這個時候應該做的就是盡快的下載一份外掛,或者根據其行為研究其特征����,并在防外掛的特征碼上記下一筆��,其實不用太復雜,最簡單的做法就是記住其外掛窗口的名稱,然后只要看到這個外掛窗口,做些處理就好了。
那么這樣一來����,關鍵的技術就落在如何設計查外掛這個結構上了����,首先客戶端需要的是一個查外掛引擎��,和一個外掛特征庫�����,根據引擎和特征庫生成一個固定的版本號,然后每次登陸的時候就用這個版本號�����,跟服務器上的版本號對比�����,如果不一樣的話,則從服務器自動下載最新的查外掛引擎和外掛特征庫����。
這樣雖然不能將外掛趕盡殺絕����,卻能比較大的限度上圍剿使用外掛的風氣,相信使用外掛的玩家也只是想更好的玩游戲,只不過動的念頭有些歪了��,但其出發點仍是好的����,只要在他使用外掛的時候多些阻攔或者誘導他不使用外掛,這樣效果就會好很多。設想一下,誰愿意每天等一個外掛的更新�����,而不去玩他很想玩的游戲呢����。這樣一來,制作外掛的人也會逐漸減少��,從而進入一個良性循環��。
就好象如今寫病毒�����,并不如當年那么流行了。。-����。-