分析游戏外挂样本的9大诀窍

 

1. 分析外挂需要考虑是否修改了代码，数据，是否有模块注入。可以用pchunter中dump外挂运行前后的代码段来判断。如果发现外挂有驱动文件，那么就把驱动文件dump出来，用ida静态分析下，如果发现有大量的读写操作。驱动文件肯定会和应用层进行通信，我们可以hook DeviceIOControl来打印通信的数据。
2. 外挂无注入模块，猜测通过跨进程读写内存，修改代码或模拟协议实现。使用netpeeker网络抓包工具,观察外挂网络收发包情况，发现并没有大量发包过程，猜测可能通过跨进程读写实现或修改代码实现。
3. 从驱动通信入手，对deviceiocontrol下断点，得到通信对象。
4. 开启外挂后，用spy++监控游戏内消息模拟，在键鼠未操作情况下，接受到大量的模拟按键模拟消息：来验证是否是模拟外挂。还要分析下进程的钩子。
5. 通过分析游戏的文件来分析反外挂的机制。在IDA中没有常规的入口代码，IDA并不能直接分析出程序的流程图。因此可以认定，xxxx.exe是经过保护的。
6. 如果工具被检测到的话，可以用多个版本进行测试看会不会还有问题，检测的一般都是窗口文字或者特征码，进程名称模块名称。
7. 修改ntdll的DbgBreakPoint以及DbgUserBreakPoint，将原先的Int 3修改为NOP。将这两个函数NOP掉之后，调试器没有办法直接附加上。
8. 分析外挂EXE模块，观察其注入过程。运行外挂EXE后DUMP进行静态分析。
9. 模拟类型的外挂，可以用spy++工具来监控游戏主窗口的消息,SPY++ 还可以监视进程的消息。