爱内涵易语言论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

快捷登录

在线
客服

支付故障请联系客服服务时间: 9:00-24:00

选择下列客服马上在线沟通:

快速
发帖

客服
热线


7*24小时客服服务热线

关注
微信

关注微信二维码
顶部
查看: 1007|回复: 1

防游戏检测之易语言APC注入DLL技术

[复制链接]

1762

主题

1848

帖子

3万

积分

管理员

Rank: 9Rank: 9Rank: 9

金币
9845
巨币
11640
积分
39494
发表于 2020-5-27 20:16:05 | 显示全部楼层 |阅读模式
APC注入是什么原理?
! o+ O" \4 V+ Q; L首先我们得来了解下它是什么东西,才能更好的运用它,关于APC对于懂微软api函数使用的学员来说可能不陌生,新手估计没有接触过。& @4 ?% i9 |* N
APC 注入的原理是利用当线程被唤醒时APC中的注册函数会被执行的机制,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的,. {! R& o; {* p
其具体流程如下:3 e- C, l7 o& o  {( A  `
1.当EXE里某个线程执行到SleepEx() 或者 WaitForSingleObjectEx() 时,系统就会产生一个软中断(或者是Messagebox弹窗的时候不点OK的时候也能注入)。0 p7 j/ f. I) r; V6 g# A
2.当线程再次被唤醒时,此线程会首先执行APC队列中的被注册的函数。& k) c! }5 V( _6 G
3.利用QueueUserAPC()这个API可以在软中断时向线程的APC队列插入一个函数指针,如果给它插入的是Loadlibrary()执行函数的话,就能达到注入DLL的目的。% s% v  F( z3 ^1 `5 j" y5 R
' Z5 U/ \' T6 m. [* _; f6 s
大至了解了下后就可以了,因为为了方便写辅助的学员注入游戏,我们模块里早已经提供了多种注入方式,本次的APC注入方式也不属于一种注入方式。
" ^0 d* A7 V: z# F5 ]9 h" X当然这里要说下,APC注入它分r0(可以使用NtQueueApcThread)层和r3层,这里我们先学习运用下r3层的APC注入,使用QueueUserApc。  y# A0 [& m4 Q; L5 _, u# y
毕竟内核驱动来进行注入涉及到系统方面,现在微软高版本系统对驱动加载都是要求比较严格的,$ N/ ~" j0 X1 t0 w
所以r3层(也就是应用层)能实现对游戏的注入,那尽量用应用层的,内核驱动方式的APC注入我们在后续模块更新了驱动后再来讲。
5 p8 P) m. ]/ M- w$ X
9 Q$ F; k9 e+ J: q" ^& B5 _APC注入方式在我们独立团的 Game-EC 驱动模块 从8.5.2的驱动版本才加入的,1 O: O; T2 W" Z  W) _
它的系统兼容方面:目前已经在xp,win7,win8,win10 32位/64位系统中测试过可用
7 B$ {- `# v( o$ z; R" i! w0 ^使用的方法很简单(APC注入.exe 代码):
" P/ H8 Q, Z0 ]8 j$ {  L
5 t8 R- ~1 M1 t( _8 h
+ a( `  g. S# A/ A9 I8 \! l7 I5 Pwin10 64位 注入效果:
% o! A$ H+ x' p- p4 T
, q" d' e' E! c% Q1 _, K' P0 D* {! P0 C
APC注入的好处:
6 B$ f6 j' ~1 j6 S" W$ y这种方式注入的好处就是DLL注入到目标进程里后,用查看进程模块的工具比如:XT,PCHunter,等都查看不到它的存在,类似于我们模块里的内存注入一样!
1 v& T1 @& g7 {6 k3 n5 i. t如果游戏枚举自身进程模块来检测辅助DLL,是查不到我们的DLL的!
3 j/ s8 a/ ~! _5 h6 \& C
9 w( W  g1 }$ g0 ~

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

0

主题

31

帖子

29

积分

终身VIP++

Rank: 6Rank: 6

金币
0
巨币
129
积分
29
发表于 2020-8-24 02:06:47 | 显示全部楼层
木块呢,没看见东西啊????
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|小黑屋|爱内涵易语言论坛 ( 浙ICP备19016710号-3 )

GMT+8, 2021-9-16 19:06 , Processed in 0.082863 second(s), 26 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表