注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

mie

 
 
 

日志

 
 

狙击外挂14  

2013-08-08 10:45:09|  分类: sr |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

反挂起保护。

        前面提到,修改KTHREAD可以达到反挂起线程的作用。然而,经过测试,内核修改会导致系统不稳定。

        我们知道,FS:[124h]——KTHREAD,可见,其实ring3层就可以修改这个数据。考虑到修改所有线程的KTHREAD不稳定,那么,我们可以修改部分线程的KTHREAD。至此,我们就可以保护想要保护的线程了。

        然而,这种思路固然很好。但是我们发现,这个是很不安全的。假设外挂作者就是小偷,小偷第一次进入银行偷了钱,为了保险起见,银行想在门窗上面加固,但是发现不妥,因为保护自己的同时 给自己带来了行动上面的不便,银行行长不同意。所以,我们就把钱放到了保险箱。于是小偷高兴了,因为他轻而易举地知道了贵重物品的存放地点。

        假设把反外挂的线程保护了起来,外挂Suspend所有线程,挂不起来的线程肯定就是反外挂线程了,于是,一通TerminateThread之后,我们将白忙活一场。此外,既然进程都可以被挂起,外挂作者自然也清楚地知道,进程是可以被TerminateProcess的,由此可见,平台反外挂已经没法发挥其价值了。

        当然,外挂除了SuspendThread之外,还有一种变态的方法,好像还没有外挂使用过,不妨也分享一下我的邪恶想法。

        QueueUserAPC!就是这个函数,很多人用它实现dll注入,其实,它还可以用来劫持反外挂线程。对反外挂线程注入一个APC例程,APC函数地址指向Sleep,参数为0xFFFFFFFF,之后,反外挂线程将在这个APC上面Sleep个几十天。

        反外挂策略可以调整,然而这需要公司决策层的首肯。类似情况曾经反馈过,我知道这是不可能的了。所以,恕小辈无能,虽有一万个想法,终究无法启用。自去年接手平台反外挂的工作之后,曾经辉煌过,现在很失落。

 

By:zhanyonhu

  评论这张
 
阅读(477)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016