[2019]BE和EAC的常见反调试手段 huoji 游戏安全 2019-12-10 对于EAC: 句柄计数检测 通过遍历handle table检测拥有读写权限的句柄 > 1就会终止游戏进程 <!--more--> 反附加是因为 DebugActiveProcess会创建一条触发int3的线程 来让调试器中断 线程创建检测由内核线程回调检测 如果有ntdlladdress/noimage的地址 直接结束游戏进程并提示 以及 RtlUserThreadStart ->Jmp PtrTo(EAC Replace Here)-> BaseInitializeContext (CONTEXT* pContext, PPEB pPeb, PVOID pEntryPoint, DWORD dwInitESP, DWORD dwEipType) 反硬件断点监测 首先它这里用了两个方法 主逻辑线程由驱动程序手动置位线程的hidedebug位 其他线程调用NtSetThreadInformation 对于BE: AntiHandleHijack:内核遍历lass等进程剥离其相关权限,csrss采取的是挂钩进入它的内核 检查返回地址 如果有问题bsod. AntiDebug:句柄异常检测/CloseHandle(x)如果挂接了调试器 那么内核会模拟一条异常.通常调试器 选择忽略所以被检测系统拦截到 由此检测到调试。 H1z1利用了异常来作为进入游戏时的Dx相关初始化措施 如果触发会爆炸 AntiHardBreak:调用NtSetThreadInformation Thread.hidedebug位 其他的都是差不多通用了: …NtQueryProcessInformation …Peb.Debug 来源 https://renjing.wang/547.html 本文由 huoji 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。
EAC检测ARK工具扫描调试目录
很多ARK工具都不清掉调试目录
pchunter:Y:ViewEngineView++_Driverx64ReleaseView++_Driver64.pdb
CE:D:svnCheat EnginebinDBK64.pdb
国内某经典锁主页公司
E:workzhangkai锁住主页xxxxxxx
https://bbs.pediy.com/thread-254696.htm