分析游戏外挂样本的9大诀窍

 

  1. 分析外挂需要考虑是否修改了代码,数据,是否有模块注入。可以用pchunter中dump外挂运行前后的代码段来判断。如果发现外挂有驱动文件,那么就把驱动文件dump出来,用ida静态分析下,如果发现有大量的读写操作。驱动文件肯定会和应用层进行通信,我们可以hook DeviceIOControl来打印通信的数据。
  2. 外挂无注入模块,猜测通过跨进程读写内存,修改代码或模拟协议实现。使用netpeeker网络抓包工具,观察外挂网络收发包情况,发现并没有大量发包过程,猜测可能通过跨进程读写实现或修改代码实现。
  3. 从驱动通信入手,对deviceiocontrol下断点,得到通信对象
  4. 开启外挂后,用spy++监控游戏内消息模拟,在键鼠未操作情况下,接受到大量的模拟按键模拟消息:来验证是否是模拟外挂。还要分析下进程的钩子。
  5. 通过分析游戏的文件来分析反外挂的机制。在IDA中没有常规的入口代码,IDA并不能直接分析出程序的流程图。因此可以认定,xxxx.exe是经过保护的。
  6. 如果工具被检测到的话,可以用多个版本进行测试看会不会还有问题,检测的一般都是窗口文字或者特征码,进程名称模块名称。
  7. 修改ntdll的DbgBreakPoint以及DbgUserBreakPoint,将原先的Int 3修改为NOP将这两个函数NOP掉之后,调试器没有办法直接附加上。
  8. 分析外挂EXE模块,观察其注入过程。运行外挂EXE后DUMP进行静态分析。
  9. 模拟类型的外挂,可以用spy++工具来监控游戏主窗口的消息,SPY++ 还可以监视进程的消息。

你可能感兴趣的:(笔记)