Disclaimer
The opinions expressed herein are my own personal opinions and do not represent anyone else's view in any way, including those of my employer.
© Copyright 2008
The opinions expressed herein are my own personal opinions and do not represent anyone else's view in any way, including those of my employer.
© Copyright 2008
今天上QQ,好友跟我说War3Drop不能用了,加我更新下。我立马打开VS测试War3Drop是什么情况。
以VS的伎俩,对付不败这类外挂,一般是跟窗口名来判断是否使用不败,因为内存检测是查不出不败的,不败修改内存后马上恢复,其间隔时间比VS检测内存hash(md5)要短得多,故而可以躲过检测。
然而根据窗口名和窗口类名来检测不败的手段的弊端又是显而易见的,我的War3Drop就专门针对这个来了个随即窗口名(类名是一般对话框的类名可以不管),但是今天测试了下,确实被“封”了。
这让我很惊奇,VS一向“很搓”,它的一些很低级的反作弊伎俩我都是熟知的,但这回我漏掉了。这就是VS要检测别的进程内存了,这也就是所谓的内存特征码,因为VS使用这个手段不多,以前只对war3内存检测,现在检测到别的进程中去了。
下面只说War3Drop被封的特征码:
地址:0040AA3C
数据:570061007200630072006100660074002000490049004900
这个其实就是unciode的”Warcraft III”,在War3Drop中找war3窗口所要用到的字符串。我估计VS的技术人员没几个懂逆向。这个特征码让我觉得很搞笑。
哎,VS啊,VS,对你实在很无语……
XHTML:
More Options ...
Categories
Tag Cloud
Blog RSS
Comments RSS
Void 
Life « Default
Earth 
Wind 
Water 
Fire Light 
Previous: 
Next: 
Comment Meta:
Last 50 Posts 
Back
10:43 - 09月 21st, 2008
vs如果找你去做反作弊系统你会去吗?
15:46 - 09月 21st, 2008
感觉你就是我们的MH教父,膜拜了 哈哈哈