简单谈谈“游戏圈”所谓的神乎其技的行为检测（4）

aiai101

接续上篇 第三篇~
先补充点检测技巧
很多人会注意到检测扫描中的进程，模块，窗口的扫描（大部分写检测的人都觉得这些就ok了），但是不会注意到可以通过扫描本地TCP连接信息来检测——比如某辅助会连接固定登录验证服务器（ip？端口？），于是服务器上添加一个扫描特征，完爆之，以后只要是这个服务器的辅助直接就是不解释封号...

接着进行本篇的部分，上次继续讲了通过call的辅助的检测，这次就不讲它了，我换个话题，讲讲一直以来被很多人推崇的模拟设备操作的辅助的检测。

首先对后台模拟按键的检测
有两种后台模型，一种是消息的，不过估计现在已经绝种了，是个游戏公司开发都会dinput了。
一种是dinput里做手脚，两者检测方式一样，直接用GetKeyState结合GetForegroundWindow爆菊花（通过其他方式获取按键状态和窗体位置层次信息一样可以哦）——检测出来不封号，直接服务器留个记录，等那天高兴了再封。
接着就是纯前台的SendInput或者驱动（NTIO也算是驱动吧）模拟的，这种其实很不好检测，在32位系统里通常是通过内核hook来进行处理的，但是对于64位系统或者重载内核绕过hook的情况则需要一些新的小技巧就是记录按键点击的相对坐标，一般模拟辅助的点击坐标都是非常稳定的，然后通过一组特征来检测，不过这里已经涉及超出本篇的内容了——必须抓到样本才可以了。

第四篇有点水，第五篇尽量就来点不水的内容。