• 1476阅读
  • 6回复

想请教个复杂的问题 [复制链接]

上一主题 下一主题
离线songce
 

只看楼主 倒序阅读 使用道具 楼主  发表于: 2016-05-28
— 本帖被 啊冲 执行取消置顶操作(2016-12-14) —
首先感谢下,任鸟飞老师上次解答的走路CALL的问题。

这次这个问题可能有些复杂 ,希望老师能够帮忙

我遇到一款游戏,有驱动保护。我要注入DLL,选择的是---作坊模块的“连环注入”,DLL可以在游戏创建的时候顺利的注入,但是5-10分钟后就会弹----非法模块

DLL隐藏了,Xuetr中看不见,但还是报非法,这是怎么回事?(我尝试过,不载入窗口注入,但是依旧被发现


PS:这游戏R0层HOOK了Openprocess,Createthread这些函数,R3层HOOK了Loadlibrary,而且基本都有通信,无法直接恢复。在游戏启动后,我尝试手动恢复R3层HOOK,然后用输入法注入,虽然可以成功,但游戏瞬间花屏,几分钟后报----游戏客户端被修改。


我在网上看过老师的一些教程目录,防封、DLL注入、驱动隐藏,好像多是基础性质的介绍讲解,我想问问近期有没有这几方面相对深入的课程开课?
离线任鸟飞

只看该作者 沙发  发表于: 2016-05-28
万挂模块  市面都是开源   被定位特征   报三方很正常
离线songce

只看该作者 板凳  发表于: 2016-05-29
回 任鸟飞 的帖子
任鸟飞:万挂模块  市面都是开源   被定位特征   报三方很正常 (2016-05-28 21:20) 

如果特征码被定为了,但我同样用“万挂模块”编写的,EXE形式的辅助(重载内核了),挂一天也没问题(我甚至连进程都没隐藏),这说不通啊????
离线jhszs

只看该作者 地板  发表于: 2016-05-29
看不下去,你DLL注入  是被游戏驱动检测到的,你需要的是DLL里有驱动层隐藏就能过掉它的保护 ,呵呵   说白了 就这么简单
离线啊冲

只看该作者 4楼 发表于: 2016-05-29

感谢楼上2位的热心指导啊
善者 慈悲心常在 无怨无恨 以苦为乐
默认压缩密码www.hifyl.com
文件分享密码问题:http://www.hifyl.com/read-htm-tid-4444.html
离线songce

只看该作者 5楼 发表于: 2016-05-29
回 jhszs 的帖子
jhszs:看不下去,你DLL注入  是被游戏驱动检测到的,你需要的是DLL里有驱动层隐藏就能过掉它的保护 ,呵呵   说白了 就这么简单 (2016-05-29 14:33) 

你是没看明白吧?   万挂作坊里的  隐藏模块()  是在R0和R3同时隐藏的      不过还是谢谢你凑热闹帮忙顶贴
离线26011602001

只看该作者 6楼 发表于: 07-02
       谢谢
快速回复
限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
上一个 下一个