在這個過程中,由於版本檢查dll儲存在伺服器端,因此顯然它可能會被隨時修改,增加一些其他功能,如檢測。從版本檢測相關**(見文末)呼叫的win32 api,loadlibrarya/getprocaddress/freelibrary/deletefilea,可以大致看出這一過程。
另外一處不為人知的機制是,在玩家連上戰網後,伺服器端有時(不是一定會發,而且傳送時機也不確定)會傳送乙個dll (extrawork.dll)到客戶端執行,然後把結果返回給伺服器端,其工作原理和版本檢測機制的工作原理非常類似。顯然這個機制也可以用於檢測。不過根據很多hacker觀測的結果,extrawork.dll一般用於收集玩家的系統配置資訊,包括cpu主頻、記憶體容量、作業系統版本等。
***x45a3 lea ecx, [esp+124h]
***x45aa push ecx ; ix86ver0.dll
***x45ab call ds:loadlibrarya
***x45b1 mov ebp, eax
***x45b3 test ebp, ebp
***x45b5 jz loc_6ff046f1
***x45bb push offset acheckrevision ; "checkrevision"
***x45c0 push ebp ; hmodule
***x45c1 call ds:getprocaddress
***x45c7 mov esi, eax
***x45c9 test esi, esi
***x45cb jnz short loc_6ff045df
***x45cd push offset aerro***iledt_0 ; "***x45d2 call nullsub_1
***x45d7 add esp, 4
***x45da jmp loc_6ff046ea
***x45df loc_***x45df:
;......
***x46e6 call esi ; checkrevision
***x46e8 mov ebx, eax
***x46ea
***x46ea loc_***x46ea: ; code xref: downloadandrunversioningdll+15aj
***x46ea push ebp ; hlibmodule
***x46eb call ds:freelibrary
***x46f1
***x46f1 loc_***x46f1: ; code xref: downloadandrunversioningdll+f3j
***x46f1 ; downloadandrunversioningdll+11ej ...
***x46f1 mov eax, [esp+430h+harchive]
***x46f5 pop ebp
***x46f6 test eax, eax
***x46f8 jz short loc_***x4700
***x46fa push eax ; harchive
***x46fb call storm_252_sfileclosearchive
***x4700
***x4700 loc_***x4700: ; code xref: downloadandrunversioningdll+278j
***x4700 push 32h ; dwmilliseconds
***x4702 call ds:sleep
***x4708 mov esi, ds:deletefilea
***x470e push offset g_szversiondllname ; lpfilename
***x4713 call esi ; deletefilea
***x4715 mov al, [esp+42ch+filename]
***x471c test al, al
***x471e jz short loc_***x472a
***x4720 lea eax, [esp+42ch+filename]
***x4727 push eax ; lpfilename
***x4728 call esi ; deletefilea
暴雪和黑客的戰爭七 Warden和外掛程式的進化(二)
外掛程式憑著前一篇 介紹的三板斧算是應付過了warden的第一 擊。但是還有乙個問題沒有解決 外掛程式的工作原理是通過安裝旁路點 detour patch 修改原有遊戲 的流程,從而獲得遊戲的控制權。但是從反檢測的角度來看,這種工作方式簡直是噩夢 檢測起來太容易了。在這方面那些不依賴於截獲遊戲 工作...
暴雪和黑客的戰爭七 Warden和外掛程式的進化(二)
外掛程式憑著前一篇介紹的三板斧算是應付過了warden的第一 擊。但是還有乙個問題沒有解決 外掛程式的工作原理是通過安裝旁路點 detour patch 修改原有遊戲 的流程,從而獲得遊戲的控制權。但是從反檢測的角度來看,這種工作方式簡直是噩夢 檢測起來太容易了。在這方面那些不依賴於截獲遊戲 工作的...
07年黑客江湖,木馬與防火牆又一場新的戰爭
先從回憶開始吧 我所記得的最初是以冰河為代表的木馬,服務端在乙個埠等候著控制者的光臨,那時候的馬只要你給加加殼,變變形,就能大河奔流了,那時候,民間傳說防毒軟體佔資源太浪費,其實只要乙個小防火牆就夠了.那時候確實,各種穿透防火牆的法子還沒有象現在這樣婦孺皆知,現在見到乙個馬就會問你插了嗎?慢慢寬頻普...