S.l.e!ep.￠%

NP就是：nProtect GameGuard

nProtect GameGuard 是一款比較著名的防作弊軟件,在玩家使用外掛（無論任何游戲的外掛,就算不是當前游戲的外掛也不可以）的時候會提示"檢測到游戲被破解修改"并強行關閉游戲。

什么是nProtect？

nProtect是設計用于保護個人電腦終端不被病毒和黑客程序感染的新概念的基于網絡的反黑客和反病毒的工具。他幫助確保所有輸入個人電腦終端的信息在網絡上不落入黑客手中。在最終用戶在執行電子貿易時，可以通過將nProtect配置在那些提供電子商務、進口貿易，電子貿易的金融機構的網站上，來提高安全等級。

nProtect怎樣工作？

nProtect是一種基于服務器端的解決方案并且當那些需要保護的任何網絡應用被運行時而自動啟動。nProtect被載入內存，所以最終用戶不需要安裝任何應用程序，只要nProtect啟動，就開始拒絕黑客工具和病毒的入侵！

目前網游的防御外掛程序基本只有4家！ 有興趣的可以找他們的游戲來玩玩
NP、HackShield、X-play、Apex（唯一一家中國公司）由于是業內人士不多加評論，僅談論技術問題
底層的實現和madz分析的差不多?? Apex占用的底層資源特別少，但是可憐的是技術勢力不夠，所以已經瀕臨倒閉，目前還在苦苦支撐
游戲黑客程序員的工資少的有2000，多的有200萬，我碰到過許多類似的黑客程序，都是中國人
技術實力是真的很強！ NP 在游戲業界已經遭到鄙視，在圈子里有這樣一句話“誰用NP，誰游戲死”，雖然有點過激，客戶永遠想象不到，要防止住所有的游戲黑客程序有多么的難！ 可以說是完全不可能攔截住
底層的防外掛程序，也不希望能全部封鎖住所有的外掛，站在游戲運營商的角度上，游戲沒外掛，那是一件可悲的事情，也是游戲即將倒閉的征兆。
為了運營獲利，很多游戲公司都情愿放任一些不是特別BT的，對服務器的負荷沒有影響的外掛運行，畢竟付錢的--錢多的=。=！！ 也是這部分用外掛的外家！ 衣食父母啊。。
(言歸正傳)底層的防外掛技術，類似于給蛋黃加了一層雞蛋殼，雖然有時候這層殼會被打破，但是防外掛技術可以修復這個殼，從而防御掉黑客程序
打破殼----->修復殼----->打破殼---->修復殼。。。。。這樣永無止盡下去
當然也有高手的黑客程序可以直接繞過防外掛技術，具體用到的技術，我不多說（要不我的事就多了）
嘿嘿！ 今天就說到這里，雖然見解不高，但是希望能多感興趣的兄弟姐妹一點啟發

更多:http://bbs.pediy.com/showthread.php?t=75271

nProtect如何工作？

用戶登陸時nProtect自動啟動。
瀏覽器確認和自動安裝安全模塊到用戶的個人電腦。
掃描黑客工具和病毒
通知用戶目前的安全狀態
如果有黑客工具和病毒嘗試刪除
在被入侵時端駐留內存來鎖定黑客工具直到電腦或者nProtect關閉。

nProtect GameGuard 的主要功能介紹：

實時偵測并封鎖修改游戲之黑客程序。
實時偵測并封鎖各類型系統病毒。
實時偵測并封鎖加速程序。
實時偵測并封鎖自動鼠標(連點)程序。
封鎖不當外掛程序。
封鎖各種意圖遠程控制玩家個人計算機的動作。
限制意圖側錄鍵盤鼠標動作的惡性程序。
限制可疑間諜程序，加強安全性。

使用此軟件的網絡游戲還有很多，比如：冒險島國際服，信長野望online，希望online等等

再來談談新版本的冒險島外掛問題：

目前在服務器上能屏蔽掉的一般都是高速戰斗，即兩次戰斗的數據傳輸時間間隔少于游戲設定的最少時間（比如說最快的攻擊是用小刀砍一下，假設這個時間是2秒，而某ip長時間以1秒傳送一次攻擊指令（既含有攻擊指令的封包），可以強制讓此ip斷線，但并不能做為封號的證據）高速采集原理也差不多，還有瞬移等。

什么是封包？客戶端和服務器之間往來的數據就是封包

有學過計算機的因該都知道計算機網絡被OSI參考模型分為7層：

第1層：物理層；傳輸單位是比特流，既bit
第2層：數據鏈路層；傳輸單位是幀，既frame
第3層：網絡層；這一層傳輸的就是包了，既packet
第4層： 傳輸層；傳輸單位是段，既segment
第5層：會話層；建立連接并保持連接暢通
第6層：表示層；將信息"表示"為一種格式，可以理解為就是"格式轉換"
第7層：應用層。對軟件提供接口以使程序能使用網絡服務

數據在網絡中傳輸不是一整大段的傳輸的，而是分成小塊傳輸的，由于比較分散，所以封包。大家可以理解為"搬家的時候把東西打成包好搬運"。

目前的外掛都是內嵌于游戲中，對游戲所接收和發送的封包進行截取，修改，重構建等。

話說回來，nProtect GameGuard的確很厲害，從冒險島更新它又來到我的硬盤上以后，我的ZoneAlarm防火墻就開始報警了，說它要監視你的進程，并且欲訪問網絡，唉，沒辦法，為了玩冒險，只好放行咯。

試圖訪問internet


監視冒險島進程

切出游戲后，你會發現右下角多了個這東西，翻譯過來就是"nProtect 游戲監視程序 版本624"


什么是ZoneAlarm？ZoneAlarm是世界著名的防火墻之一，它的強大只有用過才知道
順便說一句，世界頂級防火墻是 Look n Stop ，可惜在中文系統上使用時問題比較多，我就跟它88了（廣告先止住，免得有人扔磚）


值此，我想大家覺得冒險島純凈時代再次來臨了吧？

不過很可惜，答案是否定的。

很多人說nProtect GameGuard很厲害，但是我要告訴大家：中國人更厲害！！

破解nProtect：

nProtect GameGuard在啟動后使用SetWindowsHookEx（Inject DLL）方式進入所有的進程，并且在
OpenProcess()
ReadProcessMemory()
WriteProcessMemory()
PostMessage()
。。。。。。。。。。等等函數的頭部加入JMP XXXXXX的代碼跳入監測程序進行監測，如發現對游戲進行操作便攔截該操作，所以以上函數均無法正常工作。于是，就避免了外掛問題。

解決方案：

1.運行時將要使用的動態連接庫（如：user32.dll kernel32.dll等）復制后改名，使用LoadLibrary和GetProcAddress載入函數。

要使用LoadLibrary和GetProcAddress載入函數，你需要有Visual Studio .NET，或者其中的Visual Basic和Visual C++，當然，你還要會使用他們，而且你還要知道nProtect GameGuard運行時到底調用了哪些動態連接庫（這時候大家就八仙過海各顯神通吧，想盡一切辦法，如果你搞錯了的話。。。。。后果自己負責咯。。。。。。。。。）

2.恢復JMP XXXXXX處的代碼

需要很高的技術并有很大的危險性，而且不知道會不會再被改。。。。。。一但失敗，后果自己負責咯。。。。。。

3.如果nProtect GameGuard非正常關閉（看大家本事了），JMP XXXXXX處的代碼不會被恢復而監測程序代碼卻已經被卸載，這時候如果被Hook程序調用函數。。。。。。后果自己負責咯。。。。。。

反正失敗后后果都好不到哪里去，除了電腦爆炸之外，大家就自己去想吧，所以，小心，小心，再小心！


跳過nProtect：

首先要清楚,nProtect通過連接其更新服務器獲得當前最新文件內容,然后與本地文件作比較,如發現服務器端的文件與本地的不一致,則從更新服務器重新下載文件更新本地的nProtect文件。如果nProtect更新成功,而新版nProtect又攔截外掛,那么理所當然地nProtect每更新一次外掛就失效一次了。

通過分析游戲客戶端用于解析該游戲各程序與其對應遠端連接的IP列表文件,找出nProtect更新服務器的地址,并分析出nProtect官方更新服務器上的目錄文件結構。
目錄文件結構一般為: "更新服務器的名稱\\GameGuard"
先自己構建一臺模擬nProtect更新服務器,服務器上目錄文件結構與官方的相同,更新下載文件內容使用舊版nProtect的內容(舊的客戶端先別忙著刪除。。。。。)
將真實nProtect更新服務器的地址,解析到你構建的模擬nProtect更新服務器的IP地址.
例: 127.0.0.1gg.muchina.com
寫入到 system32\\drivers\\etc 的 host 文件中

這個 host 文件為系統TCP/IP協議配置IP解析服務, 沒有后綴名,可用記事本或UE32打開編輯。
通常一個網游的順利運行,是要連接服務器端多個IP的("nProtect服務","連接服務","數據服務","登陸服務","主服務"。。。。。。。)
而這一系列的服務都是由一個游戲主程序的啟動運行來完成(如"命運"的"WYDLaucher.exe","奇跡"的"Main.exe"，"冒險島"的"MapleStory.exe")
由于host文件已被修改過,其中nProtect更新的連接IP被解析為指向自己模擬的更新服務器,而模擬服務器上的"更新文件"是舊版本的,所以nProtect不但不會被更新為新版,反而會版本倒退。并且往后都不會再更新。。。。。。。。

另一個方法,則是直接修改游戲主程序代碼內容,就是暴力修改了。
由于nProtect的功能是附在游戲主程序的開頭獨立執行的,所以,通過對游戲主程序進行破解處理后,將游戲主程序關于nProtect的執行部分的代碼打上無效化標記,就很自然地跳過了nProtect了。


補充一下,構建模擬nProtect更新服務器可用本地機器完成(nProtect更新IP:127.0.0.1 有的安全軟件會屏蔽掉此個本地自連接IP)；用VM虛擬機完成(VM虛擬的多系統可各自設置不同IP)；或者。。。。。另外組一臺機器來做也可。。。。。

還有，脫殼的方法比較不實際,因為一個當前網游的完整客戶端主程序的脫殼工作是很繁重的, 須要多CPU服務器級的技能才能比較有效率的完成(據程序外殼加密方式而定, 雙P4 1.8G/1G RAM的系統跑MU97d的main.exe脫殼,半天左右吧。。。。。。), 脫殼后也不是人人都有能力對程序作適當修改,高級C語言編程能力的要求是跑不掉的。這個還是太難了點。。。。。。。


ok，關于nProtect就先說到這里，相信我們中國人的力量是強大的，外掛會與不久的將來再次與我們見面，其實這只是個時間問題而已。。。。。


聽沒聽說過"兩手抓，兩手都要硬？"這里引用下，代理商無權直接處理外掛制作者，這個權利只有法律有，代理商也只能通過法律來進行打擊，而代理商屬于強勢群體，要履行"誰主張，誰舉證"的原則。問題就在這個證據上，在網絡上，對某個人的某個程序的所有進行舉正是非常困難的，這個也是為什么外掛木馬病毒漫天飛，國家卻打擊不了的原因。所以代理商只能通過整治游戲的使用人群來達到清理外掛的目的。這就是目前冒險里封號的原因！


既然要說到強勢群體，那玩家就是弱勢群體，代理商說你用了外掛，請問你能去反查么？抵制外掛，從自己做起。有些人很不服，為什么連變速齒輪都封？我的意見就是"要封就全都封"一個都不留，想想2004年的冒險，我們沒有變速齒輪不是一樣玩的很開心嗎？沒有變速，時間長了也就適應了。


這次盛大號稱的集成反外掛程序原來就是nProtect這個東西，它就像鎖一樣：防君子不防小人。再厲害的鎖，只要你想搞掉它，就一定有辦法。nProtect也一樣，其實還是時間問題。。。。。