HellDivers 2 的反作弊 nProtect GameGuard 大概是我见过最垃圾的(不过不是最菜的)反作弊
运行起来就会尝试往系统里所有进程注入他的垃圾 npggNT64.des,然后这个二进制里 hook 了一堆系统函数...
如果仅此而已就算了,但是首先他是有内核态的一个反作弊,他的内核态我目前看就仅用于干一件事——在 ObCallbackList 里加一个回调,检查 NtOpenProcess 是不是打开的他的进程,如果是就拒绝掉;进程检测在用户态,甚至内存扫描,模块注入,syscall hook 都在用户态,那你内核模块的意义是?只是一个不会检查的 ObCallbackList 项的话,随便找个带漏洞的驱动都可以抹掉,还无痕。
再说他这个用户态的,注入所有进程的模块。因为他用的就是最简单的 LoadLibrary 注入方式,真正的恶意进程可以很轻松的通过 Hook LoadLibrary 或者 APC 回调入口的方式绕过,然而一堆普通进程都会被注入他的垃圾模块。写的垃圾也就算了,如果他检测到你对他监控的模块有操作的话,他的行为不是拒绝,而是直接把你的程序卡死。。。同样还有很多行为,也不知道是 bug 还是特意的,会导致这个模块把正常的程序给崩掉。
当然,这玩意的强度大概比 ACE-lite 高(会查 .text hash,我不清楚 ACE-lite 有没有这种策略,也有可能是我看过的游戏没开而已),比 ACE 低,但是他的“破坏性”却是我所见之最。人们天天骂的 ACE 也不会怎么崩掉正常的进程,更不会给所有进程全部注入一个莫名其妙的模块。
(逆这玩意是好久以前了,今天又把我 bun 崩了一次才想起来骂,可能有记错的地方
运行起来就会尝试往系统里所有进程注入他的垃圾 npggNT64.des,然后这个二进制里 hook 了一堆系统函数...
如果仅此而已就算了,但是首先他是有内核态的一个反作弊,他的内核态我目前看就仅用于干一件事——在 ObCallbackList 里加一个回调,检查 NtOpenProcess 是不是打开的他的进程,如果是就拒绝掉;进程检测在用户态,甚至内存扫描,模块注入,syscall hook 都在用户态,那你内核模块的意义是?只是一个不会检查的 ObCallbackList 项的话,随便找个带漏洞的驱动都可以抹掉,还无痕。
再说他这个用户态的,注入所有进程的模块。因为他用的就是最简单的 LoadLibrary 注入方式,真正的恶意进程可以很轻松的通过 Hook LoadLibrary 或者 APC 回调入口的方式绕过,然而一堆普通进程都会被注入他的垃圾模块。写的垃圾也就算了,如果他检测到你对他监控的模块有操作的话,他的行为不是拒绝,而是直接把你的程序卡死。。。同样还有很多行为,也不知道是 bug 还是特意的,会导致这个模块把正常的程序给崩掉。
当然,这玩意的强度大概比 ACE-lite 高(会查 .text hash,我不清楚 ACE-lite 有没有这种策略,也有可能是我看过的游戏没开而已),比 ACE 低,但是他的“破坏性”却是我所见之最。人们天天骂的 ACE 也不会怎么崩掉正常的进程,更不会给所有进程全部注入一个莫名其妙的模块。
(逆这玩意是好久以前了,今天又把我 bun 崩了一次才想起来骂,可能有记错的地方
💩49👾3