[搬运]记录我与LOL检测迂回的这半个月: 第一篇

伊索谗言

• 发错版块或如有违规贫苦版主大大删帖。不好意思。
  
• 1.稳定注入姿势
  
• 2.处理TenRpcs检测CLL
  
• 3.处理TCJ4.探测GameRpcs
  

笔者最近迷上LOL，中低分段总是有脚本，被虐的很惨
然后笔者去市场上买来几款外挂，共同防封，然后小逆了一下，发现市场上的防封软件大多是通对游戏 LoadLibraryExW 挂钩子，让某些检测模块不加载，在这种情况下，阻断了通讯，这样可以稳定的玩游戏5局左右，之后就会封7天或者三年，如果处理了TenRpcs里的检测CALL（技能开释一类的）就是7天，如果没有处理就是3年，然后经过笔者多处咨询，发现市面上没有能稳凌驾10把的防封，于是笔者想看看TP到底是什么本事检测的，于是我与LOL迂回了半月之久，废话不多说，进入正题



1.注入姿势：
笔者接纳 MDL内存映射情势向游戏历程写入了我的DLLShellCode ，用 NtCreateThreadEx 创建远程线程，游戏未发现，目前这个注入姿势是稳定的

2.处理检测CALL：
笔者在游戏主模块处发现游戏挂了70个钩子指向TenRpcs.dll，不解释，盘他<font style="color:rgb(0, 0, 0)"><font style="background-color:rgb(250, 250, 250)"><font face="&quot;"><font style="font-size:15.4px">
[table][tr][td]1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48[/td][td]<font face="Consolas, &quot;"><font size="3">BOOL RecoveryCode(ULONG32 地点, BYTE* 字节)
{
    BYTE 判定 = { NULL };
    DWORD 基址 = 0x400000;
    DWORD 修改前的页面保护属性 = NULL;

    RtlCopyMemory(&判定, LPVOID(基址 + 地点), 1);

    if (判定 != 0xE8)
    {
        全局变量::当前大区未开放检测数++;
        return FALSE;
    }

    if (VirtualProtect(LPVOID(基址 + 地点), 5, PAGE_EXECUTE_READWRITE, &修改前的页面保护属性))
    {
        RtlCopyMemory(LPVOID(基址 + 地点), 字节, 5);
        if (VirtualProtect(LPVOID(基址 + 地点), 5, PAGE_EXECUTE, &修改前的页面保护属性))
        {
            全局变量::处理检测乐成次数++; //std::cout