現在大部分的主流外掛,包括按鍵精靈,自動做一些動作之類的外掛。 都是通過HOOK進游戲窗口,并且用不同的HOOK類型來完成的,比如對于 網絡,通常是通過HOOK消息,把DLL弄到我們的游戲程序中,然后通過
GetProcAddress得到DLL中它們卑劣的函數的地址和真實的函數地址, 然后通過WriteProcessMemory來把我們的函數地址改成他們他們的API 地址。
那么在我們的游戲執行的時候,收到消息就會先觸發他們的鉤子,等他們布置好邪惡的陷阱,然后再執行我們的程序。那么,對于這類型的外掛,該怎么防呢?俗話說得好,以彼之道,還制彼身。所謂魔高一尺,道高一丈。所謂邪不勝正。所謂天網恢恢。所謂做賊心虛。
恩,WINDOWS的鉤子有個特點,就是鉤子鏈,因為對于同一個進程,即使是同一類型的鉤子,能同時有多個,也就是說,對于同一個游戲,開兩個功能相同的外掛也可以。那么,怎么樣來決定鉤子的順序呢?所謂
后來者先得,WINDOWS的做法是,最后一個HOOK某個進程的鉤子最先執行。并且振奮人心的消息是,在鉤子里面可以控制下一個鉤子是否執行。
這個函數是CallNextHookEx,也就是說,如果在某個鉤子里面不執行這個函數的話,鉤子鏈就會在這中斷,那么我們的思路就很簡單了,在游戲運行中,開一個進程,每隔一段時間就hook我們的主程序,然后在鉤
子里面,不執行CallNextHookEx,這樣就可以避免別人的鉤子執行。
所謂,僅僅發現敵人還不夠,還要消滅敵人。不急,我們來看看如何徹底把敵人打成粉碎性骨折。恩,要消滅敵人就要復雜一點了,要針對不同類型的鉤子來采取不同類型的方法了,因為敵人的鉤子不管怎么做,
無非是出于兩種目的,一種是修改數據,另外就是過濾數據。其核心思想就是我們自己的游戲注冊兩個鉤子,一個總是在鉤子鏈的最底層,另外一個總是在鉤子鏈的最上層,一比較兩個鉤子收到的消息,就知道中
間有沒有別的鉤子了。一但發現有別的鉤子,不用想了,肯定是外掛,最少也用了按鍵精靈,封號,殺檔,想怎么干就怎么干。
當然,敵人也不是這么脆弱的,據說有人用raw socket來截獲所有的網絡消息,這個跟鉤子無關,這個更底層一些。不過不用怕,俗話說得好,以彼之道,還制彼身。所謂魔高一尺,道高一丈。所謂邪不勝正。所謂
天網恢恢。所謂做賊心虛。對付攔截raw socket的外掛,這里首先要把敵人分類,對于水平最次的敵人,方法也相應要簡單得多。 最次的敵人一般用的方法是自己寫一個wsock32.dll放在和游戲相同的目錄下,來替換掉系統的wsock32.dll。對于這種愚蠢的方法,解決的辦法有很多,把load time的載入wsock32.dll改成run time的載入,然后指定一下路徑,就什么問題都沒有了。更簡單點,運行游戲的時候檢查一下當前目錄下有沒有wsock32.dll,有的話,那就肯定是外掛鉤子了。
比最等級高一點點的敵人,會喜歡用鉤子來直接鉤,一般的做法是,先通過GetProcAddress來獲取SOCKET API的地址,然后通過WriteProcessMemory的方法來修改入口地址,將其改成jmp 自己的函數地址。這種方法其實很卑劣的,所謂無毒不丈夫,我們可以通過修改通用的GetProcAddress的代碼來防止別人攔截SOCKET,這樣,直接連防火墻都可以突破了。
這里的技術難點在于,我們不能用類似WriteProcessMemory的方法來寫內存因為我們不知道究竟外掛是哪個進程,所以我們需要修改WINDOWS的代碼段,這樣講理論上是不可能的,可惜WINDOWS自己給自己留了個后門,在kernel.dll 里面,UINT AllocCsToDsAlias(UINT),通過把API的代碼段的選擇符傳給它,可以返回一個可以寫的數據段的選擇符,然后把新的選擇符和API的入口地址加在一起,就可以得到一個可以寫的代碼段的指針。
國內好多取詞軟件和全屏翻譯軟件都是用的這個原理,具體的例子如下:
比如GetProcAddress這個API,在kernel.dll里面,我們要做針對它的通用鉤子就應該按照以下的步簇:
typedef UINT (WINAPI* FOO)(UINT);
FOO AllocCsToDsAlias;
HMODULE hKernel = GetModuleHandle("kernel");
AllocCsToDsAlias = (FOO)GetProcAddress(hKernel, "AllocCsToDsAlias");
FARPROC entry = GetProcAddress(hKernel, "GetProcAddress");
WORD offset = (WORD)(FP_OFF(entry));
UINT selector = AllocCsToDsAlias(FP_SEG(entry));
BYTE *addr = (BYTE *)MK_FP(selector, offset);
然后就可以往addr這個地址寫5個BYTE的東西,第一個BYTE是jmp,不同的CPU 可能會不同,之后的一個DWORD是你的函數的地址。。
這樣,可以通過保存兩份addr的數據來做到鉤子的開關,當鉤子打開的時候,所有的GetProcAddress的調用都會調到我們的函數,這個時候可以通過檢查如果有人想GetProcAddress wsock32.dll里的東西,我們就干掉它。。
同樣,如果有人通過開啟socket這個API的SOCK_RAW參數來調用RAW SOCKET監視網絡,我們也可以通過上面的方法來做到先入為主,看誰在監視我們的網絡傳輸。
其實查外掛的原理和捉病毒的原理一樣,只是現在做外掛的技術還不成熟。當做外掛的技術和防外掛的技術在同一條線上的時候,想從技術上防住外掛是不可能的。
其實是無奈,殺毒軟件的做法是出來一種新的病毒,在第一時間內公布其特征碼,然后更新所有的客戶端,看到這種特征的,就殺。其實查殺外掛也該如此,其實CS的Cheating-Death就是這個原理,不管出了什么新的外掛,CD 總是在第一時間內更新,然后客戶端也就傻傻的只要一看到有這個特征的東西就把它干掉。其實仔細想想,這是個很好的主意,從外掛開發商的動機來分析。他們之所以要開發外掛,估計炫耀技術是一方面,更重要的還是想賺錢,或者用來掛機之類的,既然要賺錢,或者掛機,就必然會被其他玩家發現或者舉報,這個時候應該做的就是盡快的下載一份外掛,或者根據其行為研究其特征,并在防外掛的特征碼上記下一筆,其實不用太復雜,最簡單的做法就是記住其外掛窗口的名稱,然后只要看到這個外掛窗口,做些處理就好了。
那么這樣一來,關鍵的技術就落在如何設計查外掛這個結構上了,首先客戶端需要的是一個查外掛引擎,和一個外掛特征庫,根據引擎和特征庫生成一個固定的版本號,然后每次登陸的時候就用這個版本號,跟服務器上的版本號對比,如果不一樣的話,則從服務器自動下載最新的查外掛引擎和外掛特征庫。
這樣雖然不能將外掛趕盡殺絕,卻能比較大的限度上圍剿使用外掛的風氣,相信使用外掛的玩家也只是想更好的玩游戲,只不過動的念頭有些歪了,但其出發點仍是好的,只要在他使用外掛的時候多些阻攔或者誘導他不使用外掛,這樣效果就會好很多。設想一下,誰愿意每天等一個外掛的更新,而不去玩他很想玩的游戲呢。這樣一來,制作外掛的人也會逐漸減少,從而進入一個良性循環。
就好象如今寫病毒,并不如當年那么流行了。。-。-