Empfohlen
Weitere ähnliche Inhalte
Was ist angesagt?
Was ist angesagt? (20)
Ähnlich wie 從技術面簡介線上遊戲外掛
Ähnlich wie 從技術面簡介線上遊戲外掛 (20)
從技術面簡介線上遊戲外掛
- 1. 從技術面簡介線上遊戲外掛 An Introduction to Online-Game Hacks, From a Technical Perspective Zuan@chroot.org
- 4. Who am I? ● 2006 年左右活耀於 Cheat Engine Forum, 為其 Underground 成員 ● 當年主要玩楓之谷外掛 , 專門破解 nProtect GameGuard (rev641~12xx) ● MzBot 作者
- 5. Who am I? ● 台科大不分系大五 – 主修資工 , 電子 , 輔修機械 , 企管 ● chr00t 資安社群成員 ● 2010 趨勢雲端程式競賽第一名 ● 2013 International Future Energy Challenge – Grand Prize
- 6. 為什麼今天要來講
- 7. 1. 想學寫外掛的能入門
- 9. 目錄 ● 自動化外掛 ● 記憶體修改外掛 – 分析 – 修改 ● 反 - 反外掛
- 10. 遊戲外掛有兩大類
- 12. 自動化外掛 (俗稱 按鍵精靈 ) 記憶體修改外掛 封包修改外掛 是否有作弊的效果 ? 無 有 理論上是否能防堵 ? 不能 能 運作原理 無聊的事情 由電腦代勞 欺騙遊戲伺服器
- 13. 自動化工具很多
- 16. 在模擬鍵盤滑鼠方面
- 17. One API to rule them all
- 18. SendInput()
- 20. UINT WINAPI SendInput( _In_ UINT nInputs, _In_ LPINPUT pInputs, _In_ int cbSize );
- 21. INPUT inp[2]; inp[0].type = inp[1].type = INPUT_KEYBOARD; inp[0].ki.wScan = inp[1].ki.wScan = 0; inp[0].ki.time = inp[1].ki.time = 0; inp[0].ki.dwExtraInfo = 0; inp[1].ki.dwExtraInfo = 0; inp[0].ki.wVk = inp[1].ki.wVk = VK_RETURN; inp[0].ki.dwFlags = 0; inp[1].ki.dwFlags = KEYEVENTF_KEYUP; SendInput( 2, inp, sizeof(INPUT) );
- 23. HDC GetDC( _In_ HWND hWnd ); COLORREF GetPixel( _In_ HDC hdc, _In_ int nXPos, _In_ int nYPos );
- 24. HDC hDC = GetDC( NULL ); COLORREF color = GetPixel( hDC, x, y );
- 25. 記憶體修改外掛 封包修改外掛
- 27. 遊戲 伺服器 遊戲 客戶端 螢幕上有 : 怪 A, 怪 B, 玩家 玩家攻擊怪 A 傷害 9999 OS: 你說的我 都相信 ! 超自然嘛 ~ 玩家資訊 : … 攻擊力 50+/-15 玩家輸入 攻擊怪 A 計算傷害 = 56 記憶體修改 封包修改 移除怪 A 經驗值 +xx
- 29. 1. 為什麼這類計算不放到伺服器 ? 2. 為什麼這類資訊要給客戶端 ? 3. 為什麼這些計算沒有被檢查 ?
- 30. 1)為什麼這類資訊要給客戶端 ? – 遊戲架構已經確定修改起來不符合成 本效益 2)有些計算無法搬到伺服器 – 網路延遲問題 3)為什麼這些計算沒有被檢查 ? – 檢 成本高查 (CPU/ 記憶體 ) – 沒有人力去寫
- 31. 當然面對以上三個問題
- 33. 舉 rand() 為例子
- 36. 檢測亂數產生器 ● 需保有亂數產生器狀態 ● 不能漏掉任何對 rand() 的呼叫 ● Replay 一遍確保沒被修改
- 39. 封包修改的困難 ● 封包修改外掛不好實作 ● 沒有公開 API 可以進行封包修改 ● 需要自己寫 NDIS Passthrough 驅動 ● 大多遊戲都有加密封包
- 40. // From OdinMS
- 41. 記憶體修改相較簡單 柿子挑軟的吃
- 42. 記憶體修改外掛
- 43. 修改哪裡 ? 如何修改 ? 如何不被阻止 ?
- 44. 修改 裡哪
- 47. 人不能讀二進位
- 51. 常見指令 ● MOV 目的地 , 來源 ( 把來源複製到目的地 ) – MOV EAX, EBX => EAX = EBX; – MOV EAX, [0x005C] => EAX = *((int*)0x005C); ● ADD 目的地 , 來源 ( 把來源加到目的地 ) – ADD ECX, 5 => ECX += 5; – ADD ECX, [x] => ECX += x; ● SUB, XOR, OR, AND... 等指令 , 一樣的用法
- 52. 常見指令 ● CMP A, B ( 比較 A 跟 B, 結果寫到 FLAGS) – CMP EAX, 5 – CMP ECX, EDX ● JMP 地址 ( 跳到地址去 ) – JMP 0x7FFE0300 ● JE 地址 ( 如果上次比較時 , A==B, 就跳 ) – JE 0x00401753 ● JNE, JGE, JG, JL, JLE... 等等是不同的比較狀 況 C F P F A F Z F S F
- 53. if ( x == 3 ) { // ooo } else { // xxx } MOV EAX, [x] CMP EAX, 3 JNE NEXT ; ooo JMP END NEXT: ; xxx END:
- 54. 堆疊 ... :0x080 ... :0x07C ... :0x078 ... :0x074 ... :0x070 ... :0x06C ... :0x068 ... :0x064 ESP
- 55. 常見指令 ● PUSH 來源 ( 把來源 Push 到堆疊上 ) – PUSH 5 => ESP-=4; *((int*)ESP)=5; – PUSH EAX => ESP-=4; *((int*)ESP)=EAX; ● POP 目的地 ( 把堆疊最上面 Pop 到目的 地 ) – POP EAX => EAX=*((int*)ESP); ESP+=4; ● CALL 地址 ( 呼叫在地址的函數 ) – CALL 0x004027A0 => PUSH EIP, JMP 0x004027A0 ● RET ( 從目前函數 Return) – RET => POP EIP
- 56. 函數呼叫 新函數變數 :0x080 原函數 EBP :0x07C RET 地址 :0x078 新函數參數 :0x074 新函數參數 :0x070 新函數參數 :0x06C 原函數變數 :0x068 原函數變數 :0x064 ESP
- 57. 這些只是常見指令
- 58. 如果遇到不會的指令 請找 Intel 算帳 去 Google
- 59. Intel 64 and IA-32 Architectures Software Developer's Manual
- 61. 學了組合語言 但怎麼拆解 EXE 檔 ?
- 62. 靜態分析 : IDA Pro 動態分析 : OllyDbg Cheat Engine
- 63. IDA Pro
- 64. OllyDbg
- 65. OllyDbg 跟 IDA 都是正規的 逆向工程工具
- 66. 他們只是輔助
- 75. 怎麼修改
- 79. ... DEC [EBX+047C] ... ... FF 8B 7C 04 00 00 ... ... NOP NOP NOP NOP NOP NOP ... ... 90 90 90 90 90 90 ...
- 80. ... DEC [EBX+047C] ... ... FF 8B 7C 04 00 00 ... ... NOP NOP NOP NOP NOP NOP ... ... 90 90 90 90 90 90 ...
- 81. if ( Player.ID != 1 ) { Player.health--; } ... MOV EAX, [EBX+010] CMP EAX, 1 JE END DEC [EBX+047C] END: ...
- 82. Code Injection
- 84. alloc(newmem,2048) label(returnhere) label(originalcode) label(exit) Newmem: mov EAX, [EBX+010] cmp EAX, 1 je END dec [EBX+047C] end: jmp returnhere 00426E99: jmp newmem nop returnhere:
- 85. ... 00426E99: DEC [EBX+047C] ... ... 00426E99: JMP Newmem ... Newmem: mov EAX, [EBX+010] cmp EAX, 1 je END dec [EBX+047C] end: jmp returnhere
- 86. 用 CE 有點 Low 真男人外掛就要自己寫
- 87. 0x00000000 0xFFFFFFFF 線上遊戲 .exe 0x00000000 0xFFFFFFFF 外掛 .exe explorer.exe 0x00000000 0xFFFFFFFF …... …...
- 88. 1. Windows API 2. DLL Injection
- 90. DLL Injection
- 91. 0x00000000 0xFFFFFFFF 線上遊戲 .exe 0x00000000 0xFFFFFFFF 外掛 .exe explorer.exe 0x00000000 0xFFFFFFFF …... …... 外掛 .DLL
- 92. int main( int argc, char** argv ) int CALLBACK WinMain( HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow ) BOOL WINAPI DllMain( HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved )
- 93. BOOL WINAPI DllMain( HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved ) { if ( fwdReason == DLL_PROCESS_ATTACH ) { CreateThread( ... ); } return TRUE; };
- 94. 00426E99: nop nop nop ((unsigned char*)0x00426E99) = 0x90; ((unsigned char*)0x00426E9A) = 0x90; ((unsigned char*)0x00426E9B) = 0x90;
- 95. LPVOID WINAPI VirtualAlloc( _In_opt_ LPVOID lpAddress, _In_ SIZE_T dwSize, _In_ DWORD flAllocationType, _In_ DWORD flProtect ); unsigned char *mem = VirtualAlloc( NULL, 2048, MEM_COMMIT, PAGE_EXECUTE_READWRITE ); mem[0] = ...;
- 97. 1. Cheat Engine 2. WriteProcessMemory + CreateRemoteThread 3. Target IAT
- 98. 注入的時間很重要
- 99. 如何不被阻止 ?
- 101. PE Header .text .data .rsrc Entry Point ( 進入點 )
- 102. PE Header .text .data .rsrc Packer Entry Point ( 進入點 )
- 103. 非保護性加殼 : UPX, ASPack... etc
- 104. Armadillo ● 2003 年左右 ● OEP 難找 ● 透過隱藏 OEP 來避免被脫殼 ● Anti-Debugging
- 105. Anti-Debugging 現今使用 Olly 的 Plugin ( 如 StrongOD) 就能解決
- 106. ASProtect ● 2006 年左右 ● IAT 隱藏 ● Stolen Code
- 107. 載入 DLL 前 : … CALL printf … printf: jmp xxxx 載入 DLL 後 : … CALL printf … printf: jmp 10A0573C
- 108. 保護後 : … CALL FunctionA … FunctionA: jmp Packer_FunctionA … Packer_FunctionA: …
- 109. Import Reconstructor
- 110. OEP: PUSH XXX PUSH XXX CALL XXX XOR EBX, EBX PUSH EBX MOV EDI, [GetModuleHandleA] CALL EDI ...
- 112. 反外掛系統
- 114. 1. 防堵 2. 偵測
- 115. 防堵
- 116. .exe User mode (Ring 3) Kernel mode (Ring 0) ntoskrnl.exe Kernel32.dll User32.dll GDI32.dll ntdll.dll SSDT
- 117. Kernel32.dll ● OpenProcess() ● ReadProcessMemory() ● WriteProcessMemory() ● VirtualAlloc() ● CreateThread() ● TerminateProcess() User32.dll ● CreateWindow() ● PostMessage() ● SendInput() ● GetDC() GDI32.dll ● bitblt()
- 118. Detour Hook IAT Hook
- 120. Detour Hook 其實就是 Code Injection
- 121. SendInputA: push ebp mov ebp, esp ... Detour Hook SendInputA: jmp xxx ...
- 122. .exe User mode (Ring 3) Kernel mode (Ring 0) ntoskrnl.exe Kernel32.dll User32.dll GDI32.dll ntdll.dll SSDT Detour/IAT Hook Detour/IAT Hook
- 123. SSDT Hook
- 124. typedef void(*FuncPtr)( … ); FuncPtr SSDT[xxx] = { KernelFunction1, KernelFunction2, … } void onSysenter( int callID, … ) { (SSDT[callID])( … ); }
- 125. .exe User mode (Ring 3) Kernel mode (Ring 0) ntoskrnl.exe Kernel32.dll User32.dll GDI32.dll ntdll.dll SSDT SSDT Hook
- 126. Detour Hook in Kernel
- 127. .exe User mode (Ring 3) Kernel mode (Ring 0) ntoskrnl.exe Kernel32.dll User32.dll GDI32.dll ntdll.dll SSDT Detour Hook
- 128. 遇到 Kernel 的 Hook 就幾乎一定要寫驅動
- 130. 偵測
- 131. 跟防毒軟體一樣 只是他是掃描記憶體
- 132. 免殺
- 133. 免殺過的 Cheat Engine, 叫做 UCE Undetected Cheat Engine
- 134. 首先偵測字串
- 135. const char* var =“xxx”; funcA( “xxx” );
- 138. 使用 strings 指令確認
- 139. 有些時候 , 程式碼 也會被偵測到
- 140. 被偵測到 的外掛 ?
- 141. 反外掛系統的未來發展
- 142. 道高一尺 魔高一丈
- 143. 1. x64 下的變化 2. 虛擬化的崛起
- 144. 以上都是 x86 下 也就是 32 位元的 Windows
- 146. 從 64-bit 的 Vista 開始
- 148. 沒有簽章的驅動程式 不能載入
- 149. 除非開 開發者模式啟
- 150. PatchGuard
- 151. SSDT 不能改 Ntoskrnl.exe 不能改 GDT&IDT 不能改 MSR 不能改
- 153. M$: “ 朕不給的 , 你們不能搶”
- 154. Kaspersky 表示 :... McAfee 表示 :...
- 155. x64 下 , 主場優勢更大
- 156. 順帶一題
- 157. One Microsoft Way Redmond, WA 98052-7329 USA
- 158. 美國華盛頓州 雷德蒙特市 微軟路一號
- 159. “One Microsoft Way” 只有一條路 , 就是聽微軟的
- 160. 虛擬化
- 162. 以前統統要自己寫
- 163. Intel VT-x AMD-V
- 164. Host OS Guest OS
- 166. DTDebug Ddvp
- 168. 謝謝大家
- 169. 工商時間
- 170. 台灣駭客年會
- 171. 1. 參加 2. 應徵工作人員 3. 投 Paper
- 172. http://hitcon.org/
- 173. Q & A