精易论坛

标题: 一键检测CE模块，通过枚举DLL思路实现 [打印本页]

作者: 憨憨问号 时间: 2025-2-7 01:18
标题: 一键检测CE模块，通过枚举DLL思路实现
前排提醒：
1.本帖仅针对大众化情况，能够绕开检测的肯定还会有，请不要回复抬杠言论
2.源码内主要代码均写了简洁明了的注释，帮助萌新理解代码含义
3.本帖只是思路，并不完善，需要广大易友继续完善，不要过掉检测之后就来盖楼跳脸

众所周知，CE修改器能对许多程序进行修改和破J，一些开发者不希望自己的程序被破J，就研究许多方法来检测CE

我先前发过CRC内存校验模块，这能够检测到CE是否对内存进行了篡改

【2025开源大赛】一键校验内存是否被修改--CRC内存校验模块
https://bbs.125.la/forum.php?mod=viewthread&tid=14847466
(出处: 精易论坛)

但这个方法有一个弊端，如果黑ke只是单纯的修改数值，并不修改内存汇编码，CRC校验就无法检测到了

之前有个想法，通过窗口标题，或者类名，控件，属性等方法来直接检测CE进程，但这些都是可以修改的，只要改掉检测就不攻自破了。

今天突然想到能否检测CE必须要调用的DLL，这样一来就从根源解决问题了

简单研究了下，发现无论什么版本，CE启动时都会带有lua53-32.dll/lua53-64.dll（32位版本/64位版本）这个DLL

除非重新编译一份CE，手动修改其中的代码，否则CE必定会调用这两个DLL（有没有懂的？讲一下这两个DLL能不能去掉或者改名字？我目前找到的各种版本CE都有这俩DLL）

成品效果如下：
录制_2025_02_07_00_42_40_512.gif

我总共开启了四个不同的CE，首先是官方的32位，64位，以及论坛内大佬分享的修改特征后可过大多数游戏检测的64位CE。

CE最新版编译过DVBM驱动过大部分检测（应该能够检测）
https://bbs.125.la/forum.php?mod=viewthread&tid=14829041

自用CE。X64去除关键字，特征，过部分进程检测。（能够检测）
https://bbs.125.la/forum.php?mod=viewthread&tid=14792964

经过测试，全都可以完美检测并结束进程（更多的版本我没有找到）

我知道这时候肯定有人说：
“如果我用xx定制版CE，没有这两个DLL，不就检测不到了吗”

的确，用这样的方法无法检测，但依旧还有一些解决办法

情况1：如果是已经泛滥的二改CE，可以手动添加其调用到的DLL来进行检测

情况2：如果是极其少见的特殊定制二改CE，掌握这种技术的人一定也是在少数，掌握特殊定制CE程序的人也一定是少数（如果是多数人掌握那就又变成情况1了）

简而言之，这只是一个简单的思路，真正想防住破J要下的功夫可不是这么简单！

顺带一提，我还尝试制作了OD的检测，传统的52pj版和冷门过游戏检测版我都找到了一些共同都有的、启动即调用的DLL，我没像CE那样做太细致的研究，大家可以自行测试，继续完善！

模块成品+源码+gif一并打包，回复可见

作者: gytxtx 时间: 2025-2-7 01:25
有实力的，支持

作者: 123456788 时间: 2025-2-7 01:30
感谢分享。

作者: k5790 时间: 2025-2-7 01:34
这个厉害啊，学习一下

作者: 123456788 时间: 2025-2-7 01:37
挺多人用的这个版本的貌似检测不出来、

作者: huxian 时间: 2025-2-7 01:45
这个dll加载调用

作者: beatone 时间: 2025-2-7 01:50
支持开源~！感谢分享

作者: 阿白不爱吃菜 时间: 2025-2-7 02:58
看看隐藏

作者: 阿白不爱吃菜 时间: 2025-2-7 03:20
本帖最后由阿白不爱吃菜于 2025-2-7 04:41 编辑

阿白不爱吃菜发表于 2025-2-7 02:58
看看隐藏

举一反三/dbgdll

.版本 2

      ' x32dbg.dll
      ' x64_dbg.dll
      ' gui.dll.dll
      ' x64gui.dll

举一反三/易程序
comdlg32.dll'暂时没误查过,测试了五六个软件

作者: ZHuanR 时间: 2025-2-7 03:50
新技能已get√

作者: 784326742 时间: 2025-2-7 04:20

新技能已get√

作者: 君杰 时间: 2025-2-7 04:43
真正无解的招，只能靠自己意会。一旦公布出来，另一方的版本就升级了。

作者: hhf4977 时间: 2025-2-7 06:29
支持开源~！感谢分享

作者: 豆豆灰常开心 时间: 2025-2-7 07:15
已经顶贴，感谢您对论坛的支持！

作者: 查过 时间: 2025-2-7 07:20
感谢分享，很给力！~

作者: veryhigh2014 时间: 2025-2-7 07:40
只会开源感谢分享

作者: 阮文轩哥哥 时间: 2025-2-7 08:02
本帖仅针对大众化情况，能够绕开检测的肯定还会有，请不要回复抬杠言论

作者: 玩世不恭KISS 时间: 2025-2-7 08:08
只会开源感谢分享

作者: fire9 时间: 2025-2-7 08:15

作者: webmaster999 时间: 2025-2-7 08:16
感谢分享，很给力！~

作者: 烽燚 时间: 2025-2-7 08:25
学习........................

作者: xjshuaishuai 时间: 2025-2-7 08:35
感谢楼主开源分享！

作者: kfccfk 时间: 2025-2-7 08:43
感谢楼主开源分享！

作者: Fate 时间: 2025-2-7 08:54

感谢分享

作者: 网络注册网员 时间: 2025-2-7 08:57
支持楼主

作者: chis777780 时间: 2025-2-7 09:08
支持楼主

作者: 大彩笔 时间: 2025-2-7 09:14

枚举DLL 哎哟思路不错

作者: xz0455 时间: 2025-2-7 09:22
66666666666666666666666666

作者: wjswzj0 时间: 2025-2-7 09:51
新技能已get√

作者: 君九 时间: 2025-2-7 09:51
一键检测CE模块

作者: hezeyu 时间: 2025-2-7 09:56
感谢分享！！！！！！！！！！！！！！！

作者: 真IKUN 时间: 2025-2-7 09:56
大佬那边、

作者: senyu239 时间: 2025-2-7 10:05
一键检测CE模块，通过枚举DLL思路实现

作者: fyh505099 时间: 2025-2-7 10:22
感谢分享支持开源学习学习

作者: kkt123 时间: 2025-2-7 10:26
一键检测CE模块，通过枚举DLL思路实现

作者: mytiger 时间: 2025-2-7 10:33
感谢分享~~

作者: 文西哥 时间: 2025-2-7 10:51
有点意思，谢谢分享

作者: 18583687285 时间: 2025-2-7 10:58
有点意思，谢谢分享

作者: 喵帕斯和艾希 时间: 2025-2-7 11:07
看看大佬的写法

作者: hhttup 时间: 2025-2-7 11:19
感谢分享，下载学习一下

作者: a019872140 时间: 2025-2-7 11:45
66666666666666666666

作者: yes123 时间: 2025-2-7 11:46
感谢分享，下载学习一下

作者: sdfdssd 时间: 2025-2-7 11:58
看看厉害不

作者: sxwsong 时间: 2025-2-7 12:03
学习学习

作者: 958389481 时间: 2025-2-7 12:50
支持开源~！感谢分享

作者: wzfahh 时间: 2025-2-7 12:55
dafwfwfwf丰富

作者: lhpa 时间: 2025-2-7 13:06

学习学习

作者: 285275928 时间: 2025-2-7 13:34
支持开源~！感谢分享

作者: 最烦起名字 时间: 2025-2-7 13:43
RE: 一键检测CE模块，通过枚举DLL思路实现 [修改]

作者: e688 时间: 2025-2-7 14:06
感谢分享

作者: 曦月 时间: 2025-2-7 14:10
论坛有你更精彩

作者: w5685993 时间: 2025-2-7 14:12
支持支持~~~~~~

作者: myl1712 时间: 2025-2-7 14:15
模块成品+源码+gif一并打包，回复可见

作者: djmy2018 时间: 2025-2-7 14:34
支持支持~~~~~~

作者: 515889127 时间: 2025-2-7 14:41
感谢分享

作者: ncmania 时间: 2025-2-7 14:43
支持一个看看谢谢

作者: lm88818 时间: 2025-2-7 14:55
支持一个看看谢谢

作者: lm88818 时间: 2025-2-7 14:55
支持支持~~~~~~

作者: 月下饮茶 时间: 2025-2-7 14:59
!!!!!!!!!!!!!!

作者: Channge 时间: 2025-2-7 16:02
呼呼呼呼呼呼呼呼呼呼呼

作者: 世云达网络 时间: 2025-2-7 16:09
提示: 作者被禁止或删除内容自动屏蔽

作者: 拾肆 时间: 2025-2-7 16:55

让我看看

作者: leeweeee 时间: 2025-2-7 17:18
让江小白来看看帖子里藏了啥好东西~~~

作者: 138LLC 时间: 2025-2-7 17:20
66666666666666666

作者: kuangshen1 时间: 2025-2-7 18:03
6666666666666666666666

作者: w521521 时间: 2025-2-7 18:08
支持开源~！感谢分享

作者: 梦想巅峰 时间: 2025-2-7 18:54
一键检测CE模块，通过枚举DLL思路实现

作者: 枫眼 时间: 2025-2-7 19:56
666666666666666666666666666666

作者: 灵猫作者 时间: 2025-2-7 20:10
支持开源~！感谢分享

作者: msm1985 时间: 2025-2-7 20:25
看看

作者: 亿万 时间: 2025-2-7 20:43

感谢分享

作者: jowojjnd 时间: 2025-2-7 21:26
6666666666666666666666强

作者: jowojjnd 时间: 2025-2-7 21:29
好像现在检测不到了，用7.5CE打开检测不到，不知道什么原因

作者: 一只可爱汐 时间: 2025-2-7 22:06
lua-52.dll好像是lua5.2的库程序中一般有需要调用lua代码的都会通过加载这个dll来实现

感觉不是很可取哈

作者: tsl0413 时间: 2025-2-7 22:23

一键检测CE模块，通过枚举DLL思路实现

作者: FWS569 时间: 2025-2-8 00:07

lua-52.dll好像是lua5.2的库程序中一般有需要调用lua代码的都会通过加载这个dll来实现感觉不是很可取哈

作者: 憨憨问号 时间: 2025-2-8 00:13

FWS569 发表于 2025-2-8 00:07
lua-52.dll好像是lua5.2的库程序中一般有需要调用lua代码的都会通过加载这个dll来实现感觉不是很可取哈{ ...

检测到这个dll之后就直接标注为可疑程序，搭配其他的检查来进一步确定是否是CE不就好了
实在不行，只要有调用lua代码的全都给ban了，暴力执法（不是）

作者: 憨憨问号 时间: 2025-2-8 00:14

一只可爱汐发表于 2025-2-7 22:06
lua-52.dll好像是lua5.2的库程序中一般有需要调用lua代码的都会通过加载这个dll来实现感觉不是 ...

作者: qq2518 时间: 2025-2-8 00:58
学习一下。感谢分享

作者: 百暁生 时间: 2025-2-8 01:04
感谢分享

作者: 牛大马 时间: 2025-2-8 01:13
学习一下

作者: 陌迁尘 时间: 2025-2-8 02:10
感谢分享，很给力！~

作者: 小猪佩奇你配我 时间: 2025-2-8 06:35
感谢分享，很给力

作者: 豆豆灰常开心 时间: 2025-2-8 07:12
下个学习一下

作者: 查过 时间: 2025-2-8 07:17
感谢发布原创作品，精易因你更精彩！6666666666666

作者: jzfxly 时间: 2025-2-8 08:11
谢谢分享。

作者: year1970 时间: 2025-2-8 08:22
感谢分享

作者: 1101469226 时间: 2025-2-8 09:20
直接隐藏进程断链你怎么检测？

作者: 王丞君 时间: 2025-2-8 09:59
通过枚举DLL思路实现

作者: 冰炎by 时间: 2025-2-8 11:55
感谢分享，很给力！~

作者: 风景好靓 时间: 2025-2-8 13:46
感谢分享

作者: 734108950 时间: 2025-2-8 13:54
感谢分享

作者: qaz123qw 时间: 2025-2-8 15:10
感谢分享

作者: 一指温柔 时间: 2025-2-8 15:26
感谢分享

作者: 一指温柔 时间: 2025-2-8 15:27
#在这里快速回复#不错感谢分享

作者: 1184798949 时间: 2025-2-8 21:59
感谢分享

作者: zjbdsg 时间: 2025-2-9 00:24
RE: 一键检测CE模块，通过枚举DLL思路实现 [修改]

作者: zhangjun0731 时间: 2025-2-9 00:36
过检测过检测过检测过检测过检测过检测

作者: lxn2wyf 时间: 2025-2-9 05:00
思路挺有意思的，给萌新写注释这点很贴心，不过确实还有提升空间，大家一起努力完善吧。

欢迎光临精易论坛 (https://bbs.125.la/)