Easy Anti Cheat,嗯,众所周知!
EAC 是一个内核反作弊 “系统”,它可以检测任何东西。
想要欺骗它,你必须先加载一个内核驱动程序,然后才能防止它。
以下是它的常用手段:
阻止与游戏进程的所有交互
扫描所有进程与模块
扫描已知的可疑DLL模块
扫描已知的可疑驱动程序
扫描所有打开的句柄的列表降权处理
检测自身回调是否被挂钩
扫描磁盘和设备
记录所有加载的驱动程序
收集 HWID 信息
检测调试器
查找手动映射的驱动程序
检测手动映射的驱动程序跟踪
检查内核补丁
查找物理内存的句柄
使用虚拟保护检测模块
从没有实际模块支持的区域转储可疑字符串
扫描未由模块支持的区域中可能的 syscall 存根(已编辑)
执行窗口枚举以检测可疑叠加
枚举可疑的共享内存部分
检测挂钩
检查所有服务
扫描所有线程和系统线程
堆栈
检测手动映射的模块
驱动器加载器检测
虚拟机监控程序和虚拟机检测
DbgUiRemoteBreakin
PsGetProcessDebugPort
读取 DR6 和 DR7
检测各种你注册的回调
简单地说EAC清楚的知道你是谁,禁止你只是迟早的事情,注册表信息记录如下:
HKEY_LOCAL_MACHINE\Hardware\Description\System\CentralProcessor\0
1.SystemProductName
HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\Scsi\Scsi Port 0\Scsi Bus 0\Target Id 0\Logical Unit Id 0
1.Identifier
2.SerialNumber
3.SystemManufacturer
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SystemInformation
ComputerHardwareId
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\BIOS
1.BIOSVendor
2.BIOSReleaseDate
3.ProductId
4.ProcessorNameString
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Class{4d36e968-e325-11ce-bfc1-08002be10318}\0000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
1.InstallDate
2.DriverDesc
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate
1.SusClientId
以及没有列出的其他信息。。。。。。
用户模式基本挂钩:
ID Type API APIAddress ChangeByte OriinaByte
1 len[16] Inline ntdll.dll->DbgUiRemoteBreakin 0x7FF9A4F582C0 6A 00 6A FF E8 F7 B9 FC FF 60 00 00 00 80 78 02 48 83 EC 28 65 48 8B 04 25 60 00 00 00 80 78 02
2 len[8] Inline KERNEL32.DLL->CreateProcessA 0x7FF9A37EA7E0 E9 A7 5A E6 FE EC 58 48 4C 8B DC 48 83 EC 58 48
3 len[8] Inline KERNEL32.DLL->CreateProcessW 0x7FF9A37EAAB0 E9 97 57 E6 FE EC 58 48 4C 8B DC 48 83 EC 58 48
4 len[8] Inline KERNEL32.DLL->FreeLibrary 0x7FF9A37EA650 E9 B7 5B E6 FE 06 00 CC 48 FF 25 A9 60 06 00 CC
5 len[8] Inline KERNEL32.DLL->LoadLibraryA 0x7FF9A37EF500 E9 C7 0C E6 FE 06 00 CC 48 FF 25 29 12 06 00 CC
6 len[8] Inline KERNEL32.DLL->LoadLibraryExA 0x7FF9A37ED680 E9 C7 2A E6 FE 06 00 CC 48 FF 25 01 30 06 00 CC
7 len[8] Inline KERNEL32.DLL->LoadLibraryExW 0x7FF9A37E93F0 E9 17 6D E6 FE 06 00 CC 48 FF 25 F1 72 06 00 CC
8 len[8] Inline KERNEL32.DLL->LoadLibraryW 0x7FF9A37EE880 E9 07 19 E6 FE 06 00 CC 48 FF 25 B1 1E 06 00 CC
9 len[8] Inline KERNELBASE.dll->ResumeThread 0x7FF9A27DB2A0 E9 29 4E E7 FF 8D 54 24 48 83 EC 28 48 8D 54 24
公开学习交流群:179178187