分类
游戏安全

EasyAntiCheat 发送给服务器的一些数据

由于比较好奇他们究竟发送了多少的数据和什么样子的数据给服务器 特意调试了一会儿 长期更新 随着还原代码 会进行纠错
当然这仅仅是这一款商业反作弊的冰山一角。

reportid:0x45 发送驱动文件信息 包含文件目录 内存Pe头的转储 内存的一些特征信息
reportid:0x105 发送进程信息 包含文件目录 文件是否签署签名 文件签名信息
reportid:0xc1 发送进程列表以及已加载模块
reportid:0x141 发送可疑的打开了游戏的进程名字和进程id+一些特征信息
reportid:0x149 发送一些已加载的驱动模块文件名 (这个列表很死 不知道用来干什么的)
reportid:0x14b 发送当前进程创建的section名
reportid:0x134 发送当前进程游戏模块的一些节信息
reportid:0xFA 发送未知信息 大小0x7ffe
reportid:0x168 发送 0字节 一般紧随0xFA后
reportid:0x1b7 发送未知信息 大小0x94b
reportid:0x18b 发送未知信息 大小 0x101c
reportid:0xba 发送未知信息 大小 0x80
reportid:0x159 发送未知信息 大小 0x1B9
reportid:0x150 发送未知信息 大小 0x200
reportid:0x1b1 发送未知信息 大小 0x30
reportid:0x12f 发送未知信息 大小 0x20
reportid:0x1aa 发送可疑进程目录名 +pe信息 +一些特征
reportid:0xec 发送无签名进程信息 包括一些特征信息 调试段信息 文件目录 0x2db
reportid:0x12a 发送有签名进程信息 包括特征信息 调试段信息 文件目录 0x324
reportid: 0x12b 发送一些未知内存的信息 具体不详 待分析
reportid: 0x11e 发送一些未知内存的信息 具体不详 待分析
reportid: 0x132 发送一些未知内存的信息 具体不详 待分析
reportid: 0x135 发送一些未知内存的信息 具体不详 待分析
reportid: 0x129 发送可疑窗口的信息 其中包含 窗口的类名 窗口名称 窗口样式 窗口拓展样式 窗口所属进程id 窗口所属线程id 等(详情:https://blog.renjing.wang/702.html).
reportid: 0x119 发送由threadstackwalker捕捉到的未知内存信息(详情:https://blog.renjing.wang/704.html)

反作弊客户端与反作弊服务器心跳 在游戏内调用easyanticheat_sdk实现

   if ( GameClientInterfaceV012 )              // //eac 心跳
    {
      while ( (*(unsigned __int8 (__fastcall **)(__int64, __int64 *, int *))(*(_QWORD *)GameClientInterfaceV012 + 0x18i64))(
                GameClientInterfaceV012,
                &v59,
                &vars0) )
      {
        v24 = EasyAntiCheat_SDK;
        v55 = v59;
        v56 = vars0;
        v52 = 0;
        v54 = 0i64;
        v51 = &CLC_AntiCheat::`vftable';
        v53 = 1;
        if ( *(_DWORD *)(EasyAntiCheat_SDK + 0x1AB0) )
        {
          v25 = EasyAntiCheat_SDK + 0x60;
          v26 = EasyAntiCheat_SDK + 0x60;
          if ( (unsigned __int8)sub_7FF67CA3ECF0((__int64)&v51) )
            v26 = v24 + 0x28;
          if ( v26 != v25 || (signed int)((*(_DWORD *)(v26 + 0xC) - *(_DWORD *)(v26 + 0x10)) & 0xFFFFFFF8) >= 0x800 )
          {
            MEMORY[0x7FFE68008090](v24 + 0x20); // //lock eac::lock
            ((void (__fastcall *)(void ***))v51[9])(&v51);
            v27 = ((__int64 (__fastcall *)(void ***))v51[8])(&v51);
            sub_7FF67CA3D280(v26, v27, 7);
            if ( !*(_BYTE *)(v26 + 0x14) )
              ((void (__fastcall *)(void ***, __int64))v51[5])(&v51, v26);
            MEMORY[0x7FFE680062F0](v24 + 0x20); // //unlock eac::lock
          }
        }
      }
      (*(void (__fastcall **)(__int64, char (__fastcall *)(__int64, __int64, __int64, __int64), _QWORD, _QWORD))(*(_QWORD *)GameClientInterfaceV012 + 0x28i64))(
        GameClientInterfaceV012,
        sub_7FF67CAFBE10,
        0i64,
        0i64);
    }

…..

0 0 vote
文章评分

由FAKE

Через тернии к звездам,
через радость и слезы
Мы проложим дорогу

Subscribe
提醒
guest
你的昵称 用于分别你是谁
你的电子邮箱 用于被回复时通知
0 评论
Inline Feedbacks
View all comments