一个游戏的NP驱动保护
一、腾讯在ring3层检测调试工具:它又分为两点。
1、检测进程上的模块名(包括进程的路径和模块路径上出现的敏感字)
2、检测进程界面上的控件名和窗口名上的敏感字
所表现的常见现状:比如 一打开CE或VE,还没加载上游戏,游戏就自动关闭,并且弹出非法警告框腾讯的“反智辅小组”几乎把网络上所有的CE工具、VE工具、OD工具的界面敏感文字 全收集了。一旦打开这些工具,那么就报出非法提示,而这一点,不了解的朋友,都归说 是TP驱动的原因,到处的找“过TP驱动”的方法,其实和TP驱动没任何的关系即使你过了TP驱动,也没用,因为你过了驱动层的钩子而已。对于发作于ring3层那种顶!的敏感字检测却没去考虑。
经过测试发现:自己写了一个空的vb程序,界面的关键字写的和ce工具一样,打开就立刻报非法。
而把这些常见CE关键字修改掉后,游戏就不报非法了。这样就过了ring3的关键字检测。
网络上所有的CE工具 和 VE工具全部可以用,只要修改下界面上控件的名称和程序窗口名称和隐藏掉进程的模块即可。
二、腾讯在ring0层-HOOK内核函数(这个才是TP的驱动发挥的“功效”)
这个说来话长,简单的说hook一些内核api函数,让你智辅(包括工具)失效。所表现的常见现状:比如无法加载游戏、获取进程句柄为0、修改内存失败、读取内存失败、按键失效等.
三、腾讯在ring0层-检测驱动运行状态网络上有部分游戏反智辅保护,可以直接剥离掉游戏的驱动,那是因为游戏没判断驱动加载失败的情况。而腾讯的所有 游戏都有这个驱动运行的判断,会检测驱动工作的情况。
1、检测驱动是否被加载OK(这个是发作于Ring3层)
所表现的常见现状:游戏启动的时候,用牛盾GPK去拦截TP,游戏就弹出驱动运行失败
2、检测驱动加载后,HOOK的内核函数头部的字节是否是原始字节。(如果是原始字节,那么就给你非法提示)
所表现的常见现状:用xuetr工具恢复内核hook后,游戏立刻报非法。
46568686868686838668
111111111111111111111111
卡卡啊...........................................
学习楼主思路谢谢楼主
学习学习学习
求过NP工具工具工具
恭喜恭喜恭喜恭喜恭喜恭喜恭喜恭喜
进来学习一下