開発プロセスにおけるリバース開発者は、多くの人がこのような問題が発生する可能性があります。
ゲームを開くことなく、関数呼び出しと、通常の使用の一部。
しかし、ゲーム内で実行した後。このクラスの直接の機能不全。
最も典型的な例は、FPSとDNFです。
大半検出プラットフォーマーゲーム)(セキュリティシステム、最も一般的な機能のMOUSE_EVENTによって引き継がれ、マウスとキーボードのクラスの機能を実行するシールドします
だから、この関数や思考シールド、それを緩和する方法はありますか?答えはイエスです。
分析:
まず、関数は保護が直接R0グローバルフックされていないことを示す、唯一のゲームが最小化されたゲーム自体、通常の関数呼び出しのために、失敗したが、ゲームを実行するようにした後、コールフック関数を行きます。オープンマイクロソフトのカーネル機能のインタフェースより多くの厳格な、win10とwin7のシステムの新バージョンの新うち、HOOKの難易度は徐々に10であるため、システム障害の特定のゲームを保護するために、ドライブであるR0層、中に増加します。
确定了屏蔽函数是在游戏程序中调用而不是全局执行,还需确定以下几点:
1、マスク機能が実行されている場合(例:ゲーム開始または完了した後にゲームを起動)
図2に示すように、マスク関数が配置されている(例:モジュールの後にゲームがロードされ、それは機能障害を決定することができます)
それを復元するために3、HOOKのMOUSE_EVENTを見つける()場所、(より多くの機能をフックに、内部コールの可能性が高い必ずしも直接HOOKのMOUSE_EVENT、)
まず最初のポイントを決定:シールド機能を実行するには非常に簡単ですが、コールMOUSE_EVENTプログラムを書き、前後に呼び続け、そしてときに、第2のプロセス通信の後に機能を守らないと、テストされ、いくつかのFPS(初登場次いで、プロセス、ロードモジュールおよびドライバ、及び、すなわち、マスク関数がロードされ、)ロードされ、保護処理によって駆動再始動します。
ロードされているどのようなモジュール観察PCHunter故障の瞬間に機能上の位置に基づいてマスク関数、および他のサードパーティツール:第二の点が続いています。
唯一の3つのモジュールがロードされ、私たちは関数が失敗した呼んだ、そしてシールド機能は、三つのモジュールに与えられました。メインモジュール(EXEモジュール)は無視されることができると、検知手段は、メインスレッドの間で存在し、一般的にありません。だから、唯一のxxxbase.dllとbugxxx.dll。テストしたいあなたはそれがDLLをロードさせないことができ、非常に簡単です。もちろん、DLLをロードしないゲームが上がるないではなく、シャドウMOUSE_EVENT障害されます。
そこゲーム処理があるが、MOUSE_EVENTはxxxbase.dllどこかに位置し、遮蔽機能を示す、失敗しませんでした。
次いで、ローディングxxxbase.dll、マウスフックカーネル後、カーネル関数は、観測されたシールドです。
ここでは、その次のHOOKを防ぐ/復元するには、いくつかの方法があります。
図1は、元の関数のアドレスに、書き込みコードを直接R0層の元の外観を復元するために
、2を直接HOOK下関数ベースを検索またはNOP JMPは、その実行(現在の主流)を防止するために
直接フックを回復するために適切なツールを用いて3、 。
