分析某对战平台的反作弊系统(基于CSGO娱乐模式)

麻辣鸡翅

OK,该反作弊系统使用应用层检测+驱动层检测,进入CSGO对战后观察pchunter,发现反作弊驱动cheano_drv.sys,截图如下:




OK,我们回到pchunter检察,发现简直有相关回调,截图如下:



OK,现在我们就可以逐步分析这个反作弊系统的一些活动了
因为数据比较多,所以我就分析几条重要的,别的的留给你们自己分析


1.使用NtQuerySystemInformation函数遍历驱动、进程、模块信息,针对这个我们可以Hook,潜伏我们不想被它遍历到的驱动和进程
62和63就是遍历进程的DLL模块,11就是遍历系统加载的驱动程序,5就是遍历系统内运行的进程,还有一些有意思的数字你们自己去分析,比如说反调试,截图如下:


3.进过观察发现最主要的一点,启动游戏有一个Code是4655111,然后结束游戏后有一个Code是4655116,初步判断,它们是反作弊系统的启动检测和停止检测相关,
然后我们游戏开始的时候就替换为4655116,那就代表反作弊的主要检测功能不工作,截图如下: