暗黑破坏神2重置版 反调保护分析

已于 2022-03-05 10:00:31 修改
阅读量2.5k 收藏
点赞数 1
分类专栏: 软件构架、数据结构 文章标签: c++
于 2022-02-07 10:34:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yoie01/article/details/122804063
版权
本文详细分析了《暗黑破坏神2重置版》的反调试保护机制,包括Remap保护、API加密、调试器附加检测、内存校验等,并探讨了多种反调方式和保护策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

暴雪的游戏除了守望先锋外都没有使用驱动对游戏进行保护,撇开驱动不谈,这里针对ring3层的保护进行分析

目录

一、初步分析

二、动态调试保护壳

三、反调方式分析

四、内存校验分析

五、技术总结

六、ByPass方法

一、初步分析

初步分析从三个方面(查看内存分布是否合理,查看系统API是否干净,调试器附加是否成功)

1、游戏起来后用工具查看内存属性,很明显的就有个 Remap的保护,防止代码修改

2、查看api修改点,就是2个DEBUG的api被修改,防止断点

Ntdll.dll->DbgBreakPoint

Ntdll.dll->DbgUserBreakPoint

3、动态调试器附加后直接跑飞

应该有对调试附加检测,或者隐藏线程的保护

二、动态调试保护壳

       上面初步分析看到了Remap,所以这里EXE直接放调

了解本专栏 订阅专栏 解锁全文 超级会员免费看
暗黑破坏神2重置 UI界面管理类分析
IT男也疯狂
11-28 1324
一直关注暴雪的游戏,这次来分析暗黑2重置里的UI界面数据结构。 由于游戏有着各种猥琐的反调检测和保护,所以只能使用伪调试的方式进行静态分析。 起手一个字符串枚举看看有什么可用的,从暗黑2的旧客户端了解下,就从小地图入手! 关键字:AutoMap 乍一看,显然图二有点东西,那就从这里入手了,跟进去看看代码上下文 如图注释,这里应该是注册控件的地方,根据字符串的意思,应该是有个PanelManager的类管理着游戏内所有的界面。那我们就来找下这个类,继续搜索字符串,于是就找到了这里.
gg 修改器游戏被保护_某游戏DLL保护分析,以及偷学一点Unity代码保护思路
weixin_39791152的博客
11-21 4966
本人虽然是个手残,却非常喜欢尝试各种音游,即使被虐到爆炸也停不下来。最近看上一款某渊的音游,它的判定线移动打拍的玩法挺不错的,于是乎又手贱买了,然后被虐到体无完肤。本着至少要给自己爽一下的原则,就准备对它下毒手了。首先拆一下压缩包,发现是unity引擎,而且还是Assembly-CSharp.dll的方式,感觉也许会轻松不少(并不是拖出来,上dnSpy,理所当然地出错。拖进UltraEd...
VT过游戏保护,调试有保护的游戏
01-25
VT过游戏保护,调试有保护的游戏。无视TP,HP,PP。
cpp-Diablo暗黑破坏神游戏逆向工程
08-16
Diablo devolved - magic behind the 1996 computer game
简单说一下 Steam平台 常用游戏的EAC反调试保护 WIN7X64
落笔飞花笑百生的博客
05-09 1万+
内核层:3个内核线程用于不停的恢复THREAD PROCESS-CALLBACK 直接1字节anti会开启不了驱动 这里比以前的TP好点儿               CALLBACK里面抹去了句柄的读写内存权限 导致OD看不见进程 CE搜不了内存              反附加 三个驱动里面改了线程暂停位的反附加线程 导致OD附加 游戏直接消失 还有僵尸进程
给游戏或代码增加反调试功能(应用层级)
weixin_44389943的博客
02-27 817
前言: 感谢:易道云学院 tiger老师指导: 调试分为:打开一个调试进程和调试一个现有的进程。 DebugByCreate为真时调用CreateProcess()函数打开一个调试进程,当DebugByCreate为假时调用DebugActiveProcess(dwPID)函数调试一个现有的程序。 一、调用CreateProcess()函数打开一个调试进程: 调用CreateProcess()函数实际底层调用: 二、调用DebugActiveProcess(dwPID)函数调试一个现有的程序
电力系统稳定器反调分析.pdf
09-01
然而,伴随PSS应用而出现的反调现象,成为电力工程师需要深入分析和解决的技术难题。 反调现象指在发电机组增加原动机输入功率时,发电机的无功功率不仅不增反而减小,反之亦然。这一现象与PSS设计之初提高系统稳定...
汽轮机功频电液调节系统反调现象分析与对策
2. 引入前馈控制:根据预测的转速变化提前调整汽门开度,减少由于转子惯性引起的延迟。 3. 使用高速测量和反馈系统:提高信号检测和处理的速度,以更快地响应功率变化。 二、电液调节系统的工作原理 功频电液调节...
守望先锋游戏反外挂技术测评
ludongguoa的博客
09-23 2138
前言守望先锋作为目前最为火爆的游戏,赢得了广大玩家的青睐。在天梯赛开放过后,其反外挂机制受到了玩家的挑战。本文本着学习态度,通过“黑盒测试”的方式逐步分析其反外挂机制,最后再结合目前市面上的一款外挂验证其反外挂机制的有效性。反外挂之文件结构首先从守望先锋的文件入手,找到其反外挂机制的载体。守望先锋的文件结构树如图1所示。 守望先锋文件结构树 文件结构很清晰明了,可执行的文件包括:1. OverWatch.exe,该文件即为守望先锋的主程序;2. OverWatch_Launcher.exe,.
游戏安全攻防
09-10
游戏数据的分析Moba游戏的技能躲避和技能轨迹的原理与实现FPS透视 的原理与实现(包括飞天遁地飞刀秒杀加速子弹穿墙等等原理与实现) Call的检测分析与实战内存效验的分析与实战CRC的处理等等每周更新4课时最大特点: 1、循序渐进 从基础开始讲解,帮助大家理解和掌握逆向编程的核心。 2、通俗易懂,编程语言枯燥难懂,然而通形象化的讲解使编程中的难点、重点,让您轻松掌握。 3、实战性强 编程中要注意什么?如何阅读出错提示?如何调试运行程序?如何排查错误,解决问题
暗黑破坏神3配置文件+「Diablo 3 profile +」-crx插件
03-11
这个简单的扩展将你的元素伤害和元素精英伤害加到你的官方暗黑3个人资料页面上。 新的损坏行将添加到“属性”部分,就在您的图纸损坏的正上方。 (请参阅提供的屏幕截图)v1.1:-添加了设置奖励-添加了工具提示v1.0.1:-添加了对HTTPS的支持 支持语言:English
暴雪和黑客的战争(驱动保护技术)
08-24
哎,这次出大血了,就共享吧 谁叫我没分了呢,悲剧啊
某游戏的反调试
墨鱼菜鸡
09-09 730
最近比较无聊,有朋友就喊我去玩玩打枪的小游戏,然后由于我怕麻烦所以把游戏安装到虚拟机中了,然后我虚拟机开了双机调试器,其实是由于我比较懒不想关双机调试,导致游戏弹出窗口要求我关闭调试器。 小样,你叫我关就关岂不是很没有面子,然后我做了下面的事情。 首先看是不是检测了SharedUserData->KdDebuggerEnabled 这里手动在...
暴雪和黑客的战争三:黑客的反击
Sting的专栏 - Under the hood
11-07 1万+
暴雪在1.10补丁中加入hack检测机制,在某种程度上直接导致了原本和谐的D2X游戏黑客社群的分裂。一部分出于对检测机制的顾虑,停止更 新自己的作品,如d2hackit;另一部分则把他们的hack具有的反检测功能当成卖点开始收费,如d2maphack和d2jsp;还有一部分黑客出 于不满开始制作这些收费hacks的替代品,如d2hackmap,C3PO,d2bs等;甚至有些黑客出来破解这些收费ha
Hacking Diablo II之外挂实战教程:去除D2JSP试用显示的Trial Version信息
Fido
02-03 2156
前几天一个网友给我发消息请我帮他个忙。他的问题是,他正在使用的D2JSP是免费试用,试用在运行时会在游戏的所有游戏画面中央显示一行很大的“Trial Version”字样(见下图中的红圈),很烦人,他想去掉这行字。我想正好用此做个教程解释前面介绍过的hack工作原理,于是答应帮他看看。我已经很久没有开BOT了,最后一次使用D2JSP还是2003年1.09d时期的事。根据我以前的理解,D
实战过驱动保护
qq_43082315的博客
10-06 9534
以逆战为例,实战过游戏驱动保护
反调试】去除各种反调试
热门推荐
Night May Say
04-14 1万+
前不久破解一个软件的时候遇到了各种反调试,折腾的自己各种难受,最终爆破了之后感觉心情大快就顺手写下了这篇文章使用工具十六进制分析工具:winhex 查壳工具:PEID 脱壳工具:ollydump插件或者LordPE 脱壳修复工具:ImportREC 逆向工具:OllyDbg分析过程PE修复打开源程序所在文件夹,发现有一个crackme,双机运行程序发现有这个提示: 应该是文件的PE结构
突破游戏驱动级反外挂保护
weixin_30822451的博客
02-18 1465
现在大多数网络游戏都使用驱动级的反外挂保护,使其他程序无法获得其游戏窗口句柄,下面驱动代码可以恢复被TesSafe.sys Hook掉的API。 #include <ntddk.h> #include <windef.h> #include <ntimage.h> #include "Common.h" typedef struct _KAPC...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值