对反游戏外挂技术的思考及实现

无人岛屿颈

前言


<font size="3">现如今，有很多游戏外挂软件，它们可以修改游戏显示的数据和内部代码，来达到谋取利益的目的。在实现反外挂技能前，我先介绍一下常见的三种外挂：
1.模拟类外挂：该外挂可以说是最早的外挂了，它是往游戏发送伪造的按键消息来模拟人的手工操作。实现的思绪为：
[Asm] 纯文本查看 复制代码1.在Ring3层使用SendMassage、PostMassage、keybd_event、mouse_event等向消息队列中发送按键消息2.使用回调函数KeyboardClassServiceCallback和MouseClassServiceCallback往类驱动输入摁键消息。

2.内部Call调用外挂：使用逆向技能分析出游戏内部的汇编代码，把内里临游戏玩家有利的函数作为外挂的实现功能。实现的思绪为：
[Asm] 纯文本查看 复制代码1.使用逆向工具，去除壳和内里的反调试功能2.分析游戏的使用过程、玩家自身的信息、背包信息、敌人信息等3.逆向分析出游戏的明文发包功能4.根据游戏的明文发包函数和报文信息分析游戏内部功能实现的函数

3.脱机外挂：分析出游戏客户端和服务端之间的通讯逻辑，使用自己发送和接受数据来跟服务端进行交互。实现的思绪如下：
[Asm] 纯文本查看 复制代码1.使用逆向工具，去除壳和内里的反调试功能2.逆向分析游戏中的汇编代码，分析出加解密算法及各种资源信息3.分析出登录封包，获取各种跟游戏相关的信息4.整合寻路算法，实现挂机

保护call函数和基址数据


1.最近玩植物大战僵尸和连连看等游戏的时候发现，这些游戏需要通过启动程序才能正常运行，那么我突发奇想，如果在程序运行前，修改游戏中的部分代码段数据，等需要运行游戏时再通过另一个程序恢复代码段数据，那么就可以起到保护游戏的作用。

2.对于游戏外挂制作者，他们常常习惯性的使用OD工具和CE工具、IDA工具等，找出游戏的基址数据(也为全局变量)和内部call，然后修改基址数据或者修改执行流程，调用内部call。那么在游戏运行前就对基址数据地点和某些call后接地点进行修改，等需要运行游戏时，再修改回基址地点和call调用的地点，就可以起到反外挂的作用。

3.接下来，介绍一下如许做的作用：

4.简单介绍一下实现的流程：1.读取PE文件信息到内存中，遍历PE文件中的代码段，找到函数头部地点和使用的全局变量地点；2.在代码段中，找出调用函数的call指令，把call后接地点进行修改，对于数据，找到使用全局变量的mov指令，修改地点操作数；3.运行时，使用CreateProcess函数创建线程并挂起，然后恢复代码段中的数据并运行历程

5.我开辟了一款反游戏外挂工具(该工具及其源码可在文章末尾下载)来模拟这个过程，在文件选择框选择要保护的PE文件，把需要保护的函数及数据添加到左边栏中，执行保护时，在PE文件目录下会生成已保护的PE文件，点击运行时，就能正常运行。

检测代码段法

1.在游戏没有运行之前，修改、添加或删除PE文件的二进制信息可以起到修改程序流程的作用，从而起到外挂的作用。实现的技能有：在代码段的空缺地区添加&quot;洞穴代码&quot;，修改OEP的值，让程序跳转到洞穴代码；使用Inline HOOK执行外挂功能函数；修改代码段中的跳转指令和call后接地点，执行游戏内部汇编指令或者变更内部call等

2.在游戏运行时，通过外挂工具动态修改、添加或删除历程代码段数据或者动态注入shellcode同样也能起到修改程序流程的作用，那么校验PE文件和游戏内存数据就可以检测出游戏外挂。

３.在实际运用中，可以计算出PE文件的校验值，存放在游戏第三方程序的数据段中或者存放在游戏的服务器端，那么在游戏运行前校验PE文件值和运行时动态检验历程内存，接下来使用工具来模拟这个过程：１.选择PE文件计算PE文件校验值和记载代码段数据；２.选择需要校验的文件，同样也计算出校验值并比较是否变化；３.选择正在运行的历程，比较代码段数据是否变化。

４.实现的思绪为：１.使用MD5算法计算出前后PE文件的校验值，并进行比较；2.先使用数组存放PE文件代码段数据，后读取历程内存中的代码段数据，然后比较数组数据是否相同

５.在游戏运行时，把游戏运行过程中使用过的函数及其相关的寄存器信息存放在服务端，在服务端检测函数的调用流程，就可以判断游戏内部call有没有非法调用。不外我这里模拟这个过程的方式是把函数运行时的信息写到日志文件中，查看日志信息来判断游戏内部call是否被非法调用。

6.实现的思绪为：1.调式历程，循环接受调式变乱；2.在刚开始调式时，把函数头部修改为CC；3.当发现中断时，判断发生中断的地点是否为函数头部地点，是的话，把线程上下文信息记载在日志文件中
[Asm] 纯文本查看 复制代码//调式历程DebugActiveProcess(pid)：                                                        //循环等待调式变乱                                                        while (WaitForDebugEvent(&de, INFINITE))                                                                        {                                                                        ......                                                                        PEXCEPTION_RECORD per = &pde->u.Exception.ExceptionRecord;                                                                        //触发创建调式历程变乱时                                                                        if (CREATE_PROCESS_DEBUG_EVENT == de.dwDebugEventCode)                                                                                //修改函数头部                                                                                SetUserFunc(&de);                                                                //触发异常变乱时                                                                        else if (EXCEPTION_DEBUG_EVENT == de.dwDebugEventCode)                                                                                //判断触发异常地点                                                                         if (OnExceptionDebugEvent(&de))                                                                                continue;                                                        //继承接受调式变乱                                                                        ContinueDebugEvent(de.dwProcessId, de.dwThreadId, dwContinueStatus);                                                                                                                                                }        
HOOK检测

                                               
1.现在，有各种各样的HOOK技能，包罗 InLine HOOK、IAT HOOK、API HOOK等，其中大部分需要注入dll来实现HOOK功能，那么游戏运行时，服务端或者游戏第三方程序可以检测有无dll注入，有的话，及时清除掉。实现的思绪为：1.先记载游戏运行过程中用的dll文件名；2.游戏运行时遍历历程使用的dll文件名，若遇到不名dll文件名，则进行释放；

2.使用工具模拟这个过程：选择历程，选中dll文件地点目录，点击检测dll，就可检测出历程中是否有dll注入。

3.那么，除了检测dll文件外，还可以检测 IAT表和函数内部代码的跳转指令来判断游戏中是否有IAT HOOK或者InLine HOOK(跟API HOOK差不多，范围比API HOOK小，我这里就不介绍了)，实现的过程为：1.选中游戏PE文件后，定位到导入表目录，遍历INT表中的_IMAGE_THUNK_DATA，通过内里的联合体u1，来获取游戏运行后IAT表中的函数地点；2.选中历程，读取历程内存中IAT表信息并比较函数地点，差别则说明有 IAT HOOK；3.对于InLine HOOK，读取历程代码段中函数地区的跳转指令操作数，若发现跳转到别的函数地区，则说明有InLine HOOK；



4.使用工具模拟这个过程：选中历程和PE文件，再点击 IAT HOOK按钮或者InLine HOOK按钮就可进行检测。

多开检测和动态调式工具检测


1.现在的打金工作室可以同时开多个号来刷金币，那么需要限定游戏多开，当动态调式历程时，在使命管理器中可以看到调式工具的主线程成了调式历程，那么调式器内存内里必然会有调式历程的内存信息，那么找到调式工具后再查找内里是否含有游戏历程的内存信息，若有则可以判断，游戏处于调式状态。

2.对于防多开，常常会用到下面的代码，那么外挂制作者修改跳转指令或者NOP掉汇编代码就可以实现多开。为了防止这种情况，我这里把CreateMutex函数头部修改为CC，使用调式器的方式不断监控异常变乱，当CreateMutex函数头部触发中断异常时，获取互斥体变量名(地点为：ESP+8)，并判断该变量名是否出现过，若出现过，则检测出历程出现多开。实现的关键代码如下：
   [C++] 纯文本查看 复制代码 //创建互斥体    HANDLE hMutex = CreateMutex(NULL,FALSE,&quot;XXXXXX&quot;);    DWORD dret = GetLastError();    if(hMutex)    {        if (ERROR_ALREADY_EXISTS == dret)        {            CloseHandle(hMutex);            return 0;        }    }   .............    //WaitForSingleObject(hMutex,INFINITE);  ............    ReleaseMutex(hMutex);        return 0;}

检测多开的关键代码：
[C++] 纯文本查看 复制代码//解除HOOK 恢复原值                WriteProcessMemory(&pde->dwProcessId, g_pCreateMutex,&g_Orignal,sizeof(BYTE),NULL);                //获取线程上下文                ctx.ContextFlags = CONTEXT_CONTROL;                GetThreadContext(g_cpdi2.hThread,&ctx);                //得到ESP+8的值                ReadProcessMemory(g_cpdi2.hProcess, LPVOID(ctx.Esp + 0x8), &EspContent, sizeof(DWORD), NULL);                printf(&quot;EspContent: %x\n&quot;, EspContent);                //取出地点并获取字符串                Name[NameNum++] = (char*)(EspContent);                //判断有无重复互斥名                list list1;                for (int i = 0; i < NameNum; i++)                {                        list1.push_back(Name);                }                int len1 = list1.size();                list1.unique();                int len2 = list1.size();                //长度不等，则有重复元素                if (len1 != len2)                {                        IsOpenMore = 1;                        return -1;                }                //让EIP为当前地点                ctx.Eip = (DWORD)g_pCreateMutex;                //设置线程上下文                SetThreadContext(g_cpdi2.hThread, &ctx);                //继承调式                ContinueDebugEvent(pde->dwProcessId, pde->dwThreadId, DBG_CONTINUE);
3.对于多开检测，我还想出了三种检测方法：1.获取历程代码段信息，使用代码段信息匹配的方式来判断是否有相同的历程运行；2.获取历程所有的窗口句柄，匹配查找有无跟窗口标题相同的窗口，有则说明多开；3.对历程名进行匹配；



4.对于调式工具检测，还是使用代码段识别法：获取OD工具中代码段信息匹配探求相同历程，若有，则再识别内部有无游戏历程的内存信息并且再判断调式历程是否为调式工具的子历程，两者有一建立，则说明游戏历程处于调式状态，实现的关键代码如下：
[C++] 纯文本查看 复制代码void ToolAndOpenMore::GetToolCode(BYTE* ToolCode, CString strPath){        //把PE文件加载到内存中        PVOID PeBuffer =PEFileToMemory(CStringToCharSz(strPath));        //PE文件头        pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)PeBuffer + pDosHeader->e_lfanew + 0x4);        //节表数量        DWORD SectionNum = pPEHeader->NumberOfSections;        //PE可选头        pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);        DWORD EP = pOptionHeader->AddressOfEntryPoint;        //代码段节表头        pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);        tpSectionHeader = pSectionHeader;        int j = 0;        //遍历OEP之后的代码段数据        for (int i = tpSectionHeader->PointerToRawData; i < tpSectionHeader->PointerToRawData + tpSectionHeader->SizeOfRawData && j