测试反外挂系统程序独立版(接口文档)

测试反外挂系统程序独立版(接口文档)是一款在多年登录器开发中制造的产物，以前都是针对不同的游戏做不同的反外挂，效果虽然有了，但不利于复用，所以后来就自己开发了这套系统。

【软件特色】

【软件内容】

越过BE（以及其他反外挂系统）有两个重要环节1.读取被驱动保护的内存2.防止读写行为被发现一个环节一个环节说读取被驱动保护的内存主要有两种手段1.克隆handle，这个方法前年公开（也有可能早就公开了就是我不知道，唉），从系统进程cssrs.exe handle出来，这个方法好处是百发百中，成本低，开发周期短，弊端也很明显，就是克隆出来的handle跟cssrs.exe中的handle ID一毛一样，很容易被发现，不过这个方法至今仍有生存空间，关键在于如何隐藏被克隆的handle。这个后面再说2.利用驱动读写内存，这里面有两个分支，可以选择氪金（买驱动签名，当然你有本事偷到那最好），买来的签名只有你一个人用，自然生存期会非常长（具体多长我也不知道，毕竟买不起），也可以选择利用已有签名的驱动的漏洞，去年还是前年被公开的GPU-Z的驱动漏洞就是个例子，这个路子的优势是不需要花钱就有认证的驱动用，坏处是漏洞一旦被公开，你知道了别人也知道，生存周期一般不超过3个月，就要换漏洞，如果专业干这行的，可以自己去挖漏洞，其实很多硬件厂商的驱动都有漏洞，未授权内存读写非常常见。下面说说如何隐藏读写内存行为。首先说说隐藏handle,因为不管用任何方法读写内存，最终操作的是指向内存进程的handlehandle一旦拿到，想让他消失是不可能的事，除非你释放他，我们能做的就是把他藏起来，或者说让他看起来好像一个正常的线程操作行为，这里面的技巧太多了，我也只懂个皮毛，这里我就说一下我常用的一些方法1.借尸还魂：注入到一个有数字签名的进程里，然后通过合法进程来打开handle，我喜欢用输入法进程做掩护，因为输入法本身就有各种远程注入行为，所以使用输入法进程藏handle看起来也能掩人耳目。2.截胡法：这个方法我猜是我首创？？ 具体步骤：随便用个烂驱动漏洞，把dll注入到杀毒软件一类具有极高线程操作能力（自带合法签名驱动）的线程中，然后挂钩子，够openprocess，然后开始杀毒扫描，等杀毒软件拿到游戏的handle，把handle替换了返回给杀毒软件，这样最后扫描完成杀毒软件就不会正常释放这个handle，这样handle就被截胡了，这个原理是：BE不会让你用烂驱动注入挂钩子，但是杀毒软件没那么敏感（杀毒软件不会ban你的帐号对吧），但是杀软打开目标进程的handle，这就是非常正常合法的行为了。

【系统框架设计方案】

本系统基于C/S结构设计，包含服务器端和客户端两大部分。
服务器端主要负责策略定制与实施，并控制客户端的行为。
客户端主要负责具体的安全保护。如外挂扫描，防盗号，防修改游戏内存等。