現在大部分的主流外掛，包括按鍵精靈，自動做一些動作之類的外掛。 都是通過HOOK進游戲窗口，并且用不同的HOOK類型來完成的，比如對于 網絡，通常是通過HOOK消息，把DLL弄到我們的游戲程序中，然后通過
GetProcAddress得到DLL中它們卑劣的函數的地址和真實的函數地址， 然后通過WriteProcessMemory來把我們的函數地址改成他們他們的API 地址。

　　那么在我們的游戲執行的時候，收到消息就會先觸發他們的鉤子，等他們布置好邪惡的陷阱，然后再執行我們的程序。那么，對于這類型的外掛，該怎么防呢？俗話說得好，以彼之道，還制彼身。所謂魔高一尺，道高一丈。所謂邪不勝正。所謂天網恢恢。所謂做賊心虛。

　　恩，WINDOWS的鉤子有個特點，就是鉤子鏈，因為對于同一個進程，即使是同一類型的鉤子，能同時有多個，也就是說，對于同一個游戲，開兩個功能相同的外掛也可以。那么，怎么樣來決定鉤子的順序呢？所謂
后來者先得，WINDOWS的做法是，最后一個HOOK某個進程的鉤子最先執行。并且振奮人心的消息是，在鉤子里面可以控制下一個鉤子是否執行。

　　這個函數是CallNextHookEx，也就是說，如果在某個鉤子里面不執行這個函數的話，鉤子鏈就會在這中斷，那么我們的思路就很簡單了，在游戲運行中，開一個進程，每隔一段時間就hook我們的主程序，然后在鉤
子里面，不執行CallNextHookEx，這樣就可以避免別人的鉤子執行。

　　所謂，僅僅發現敵人還不夠，還要消滅敵人。不急，我們來看看如何徹底把敵人打成粉碎性骨折。恩，要消滅敵人就要復雜一點了，要針對不同類型的鉤子來采取不同類型的方法了，因為敵人的鉤子不管怎么做，
無非是出于兩種目的，一種是修改數據，另外就是過濾數據。其核心思想就是我們自己的游戲注冊兩個鉤子，一個總是在鉤子鏈的最底層，另外一個總是在鉤子鏈的最上層，一比較兩個鉤子收到的消息，就知道中
間有沒有別的鉤子了。一但發現有別的鉤子，不用想了，肯定是外掛，最少也用了按鍵精靈，封號，殺檔，想怎么干就怎么干。

　　當然，敵人也不是這么脆弱的，據說有人用raw socket來截獲所有的網絡消息，這個跟鉤子無關，這個更底層一些。不過不用怕，俗話說得好，以彼之道，還制彼身。所謂魔高一尺，道高一丈。所謂邪不勝正。所謂
天網恢恢。所謂做賊心虛。對付攔截raw socket的外掛，這里首先要把敵人分類，對于水平最次的敵人，方法也相應要簡單得多。 最次的敵人一般用的方法是自己寫一個wsock32.dll放在和游戲相同的目錄下，來替換掉系統的wsock32.dll。對于這種愚蠢的方法，解決的辦法有很多，把load time的載入wsock32.dll改成run time的載入，然后指定一下路徑，就什么問題都沒有了。更簡單點，運行游戲的時候檢查一下當前目錄下有沒有wsock32.dll，有的話，那就肯定是外掛鉤子了。

　　比最等級高一點點的敵人，會喜歡用鉤子來直接鉤，一般的做法是，先通過GetProcAddress來獲取SOCKET API的地址，然后通過WriteProcessMemory的方法來修改入口地址，將其改成jmp 自己的函數地址。這種方法其實很卑劣的，所謂無毒不丈夫，我們可以通過修改通用的GetProcAddress的代碼來防止別人攔截SOCKET，這樣，直接連防火墻都可以突破了。

　　這里的技術難點在于，我們不能用類似WriteProcessMemory的方法來寫內存因為我們不知道究竟外掛是哪個進程，所以我們需要修改WINDOWS的代碼段，這樣講理論上是不可能的，可惜WINDOWS自己給自己留了個后門，在kernel.dll　里面，UINT AllocCsToDsAlias(UINT)，通過把API的代碼段的選擇符傳給它，可以返回一個可以寫的數據段的選擇符，然后把新的選擇符和API的入口地址加在一起，就可以得到一個可以寫的代碼段的指針。

　　國內好多取詞軟件和全屏翻譯軟件都是用的這個原理，具體的例子如下：
　　比如GetProcAddress這個API，在kernel.dll里面，我們要做針對它的通用鉤子就應該按照以下的步簇：
typedef UINT (WINAPI* FOO)(UINT);
FOO AllocCsToDsAlias;
HMODULE hKernel = GetModuleHandle("kernel");
AllocCsToDsAlias = (FOO)GetProcAddress(hKernel, "AllocCsToDsAlias");
FARPROC entry = GetProcAddress(hKernel, "GetProcAddress");
WORD offset = (WORD)(FP_OFF(entry));
UINT selector = AllocCsToDsAlias(FP_SEG(entry));
BYTE *addr = (BYTE *)MK_FP(selector, offset);

　　然后就可以往addr這個地址寫5個BYTE的東西，第一個BYTE是jmp，不同的CPU　可能會不同，之后的一個DWORD是你的函數的地址。。

　　這樣，可以通過保存兩份addr的數據來做到鉤子的開關，當鉤子打開的時候，所有的GetProcAddress的調用都會調到我們的函數，這個時候可以通過檢查如果有人想GetProcAddress wsock32.dll里的東西，我們就干掉它。。

　　同樣，如果有人通過開啟socket這個API的SOCK_RAW參數來調用RAW SOCKET監視網絡，我們也可以通過上面的方法來做到先入為主，看誰在監視我們的網絡傳輸。

　　其實查外掛的原理和捉病毒的原理一樣，只是現在做外掛的技術還不成熟。當做外掛的技術和防外掛的技術在同一條線上的時候，想從技術上防住外掛是不可能的。

　　其實是無奈，殺毒軟件的做法是出來一種新的病毒，在第一時間內公布其特征碼，然后更新所有的客戶端，看到這種特征的，就殺。其實查殺外掛也該如此，其實CS的Cheating-Death就是這個原理，不管出了什么新的外掛，CD 總是在第一時間內更新，然后客戶端也就傻傻的只要一看到有這個特征的東西就把它干掉。其實仔細想想，這是個很好的主意，從外掛開發商的動機來分析。他們之所以要開發外掛，估計炫耀技術是一方面，更重要的還是想賺錢，或者用來掛機之類的，既然要賺錢，或者掛機，就必然會被其他玩家發現或者舉報，這個時候應該做的就是盡快的下載一份外掛，或者根據其行為研究其特征，并在防外掛的特征碼上記下一筆，其實不用太復雜，最簡單的做法就是記住其外掛窗口的名稱，然后只要看到這個外掛窗口，做些處理就好了。

　　那么這樣一來，關鍵的技術就落在如何設計查外掛這個結構上了，首先客戶端需要的是一個查外掛引擎，和一個外掛特征庫，根據引擎和特征庫生成一個固定的版本號，然后每次登陸的時候就用這個版本號，跟服務器上的版本號對比，如果不一樣的話，則從服務器自動下載最新的查外掛引擎和外掛特征庫。

　　這樣雖然不能將外掛趕盡殺絕，卻能比較大的限度上圍剿使用外掛的風氣，相信使用外掛的玩家也只是想更好的玩游戲，只不過動的念頭有些歪了，但其出發點仍是好的，只要在他使用外掛的時候多些阻攔或者誘導他不使用外掛，這樣效果就會好很多。設想一下，誰愿意每天等一個外掛的更新，而不去玩他很想玩的游戲呢。這樣一來，制作外掛的人也會逐漸減少，從而進入一個良性循環。

　　就好象如今寫病毒，并不如當年那么流行了。。-。-