开启辅助访问 切换到宽版

精易论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

用微信号发送消息登录论坛

新人指南 邀请好友注册 - 我关注人的新帖 教你赚取精币 - 每日签到


求职/招聘- 论坛接单- 开发者大厅

论坛版规 总版规 - 建议/投诉 - 应聘版主 - 精华帖总集 积分说明 - 禁言标准 - 有奖举报

查看: 17044|回复: 10
收起左侧

[Windows逆向] EAC过检测

[复制链接]
发表于 2022-6-28 03:34:45 | 显示全部楼层 |阅读模式   河北省保定市
Easy Anti Cheat可能是最流行的内核反作弊,它被用在许多游戏中,它比Battleye更好,因此更难绕过。如果你想绕过它,你还必须有一个内核驱动程序。如果游戏有简单的反作弊,您将无法注入,请附加调试器,包括作弊引擎或对游戏过程执行任何其他操作,直到您绕过EAC。

在继续之前,您需要阅读e内核反作弊线程,它将包含您开始绕过内核反作弊所需的一切:

如果您手动映射您的驱动程序,您必须清除包括 PiDDBCacheTable 在内的痕迹,因为他们基于此检测到你。

使用简单的反作弊的游戏有:

顶点传奇
堡垒之夜

圣骑士
死于日光
为了荣誉
齿轮 5
幽灵行动荒地
第 2 分部
上古时代
阴谋在线
战斗武器
Darkfall:Agaon的崛起
无畏
脏弹
异界2
FlyFF在线
Halo Mastier Chief Collection
特种部队2
还有很多
做一个简单的反作弊功能

因为EAC是一个内核反作弊器,它检测可以检测任何东西,你必须先加载到你的内核驱动程序,然后阻止他

阻止与游戏进程的所有交互
进程句柄的块创建
扫描隐藏的进程和模块
扫描已知的可疑 DLL 模块
扫描已知的可疑驱动程序
获取所有打开句柄的列表
扫描磁盘和设备
记录所有加载的驱动程序
收集硬件信息
检测调试器
查找手动映射的驱动程序
检测手动映射的驱动程序跟踪
检查内核补丁
查找物理内存句柄
使用 VirtualProtect 检测模块
从不受实际模块支持的区域转储可疑字符串
在不受模块支持的区域中扫描可能的系统调用存根(已编辑)
进行窗口枚举以检测可疑覆盖
枚举可疑的共享内存部分
检测钩子
检查所有服务
扫描所有线程和系统线程
栈走
检测手动映射的模块
Turla Driver Loader 检测
管理程序和虚拟机检测
DbgUiRemoteBreakin 补丁
PsGetProcessDebugPort
手动设置 HideFromDebugger 标志
读取 DR6 和 DR7
检测回调
EAC HWID生成

EAC 确切地知道你是谁,可能需要你进行大量欺骗它

注册表HWID

KUSER_SHARED_DATA.ProcessorFeatures(0xFFFFF78000000274)
登记处
WMI
Ntoskernl.exe 版本
MAC地址
磁盘序列
HKEY_LOCAL_MACHINE\Hardware\Description\System\CentralProcessor\0
系统产品名称
HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\Scsi\Scsi Port 0\Scsi Bus 0\Target Id 0\Logical Unit Id 0
标识符
序列号
系统制造商
计算机\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SystemInformation
计算机硬件 ID
计算机\HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\BIOS
BIOS供应商
BIOS 发布日期
产品编号
处理器名称字符串
计算机\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Class\{4d36e968-e325-11ce-bfc1-08002be10318}\0000
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
安装日期
驱动程序描述
计算机\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate
SusClientId
Registry\Machine\System\CurrentControlSet\Control\Class\{4d36e972-e325-11ce-bfc1-08002be10318}\0001
Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Windows Activation Technologies\AdminObject\Store
EAC记录的可以模块:

Dumper.dll
Glob.dll
mswsock.dll
perl512.dll
vmclientcore.dll
vmwarewui.dll
virtualbox.dll
qtcorevbox4.dll
vboxvmm.dll
netredirect.dll
atmfd.dll
cdd.dll
rdpdd.dll
vga.dll
workerdd.dll
msvbvm60.dll


签到天数: 3 天

发表于 2024-8-22 22:20:05 | 显示全部楼层   湖北省恩施土家族苗族自治州
虚拟机怎么过呢
回复 支持 反对

使用道具 举报

签到天数: 1 天

发表于 2024-7-30 14:17:24 | 显示全部楼层   江苏省*
66666666666666666
回复 支持 反对

使用道具 举报

签到天数: 12 天

发表于 2024-5-29 18:50:22 | 显示全部楼层   湖北省武汉市
666666666666666666666666
回复 支持 反对

使用道具 举报

签到天数: 12 天

发表于 2024-5-28 10:31:38 | 显示全部楼层   湖北省武汉市
111111111111111111111111
回复 支持 反对

使用道具 举报

发表于 2024-5-25 20:12:42 | 显示全部楼层   河北省保定市
感谢分享,很给力!~
回复 支持 反对

使用道具 举报

结帖率:0% (0/1)
发表于 2024-5-11 18:34:20 | 显示全部楼层   上海市上海市
66666666666666666666
回复 支持 反对

使用道具 举报

结帖率:50% (1/2)

签到天数: 7 天

发表于 2022-7-19 23:04:30 | 显示全部楼层   新疆维吾尔自治区克拉玛依市
感谢分享
回复 支持 反对

使用道具 举报

发表于 2022-7-9 22:24:31 | 显示全部楼层   黑龙江省牡丹江市
王牌战争有没有
回复 支持 反对

使用道具 举报

发表于 2022-6-29 17:32:10 | 显示全部楼层   湖北省黄冈市
66666666666666666666
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则 致发广告者

发布主题 收藏帖子 返回列表

sitemap| 易语言源码| 易语言教程| 易语言论坛| 易语言模块| 手机版| 广告投放| 精易论坛
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表精易立场!
论坛帖子内容仅用于技术交流学习和研究的目的,严禁用于非法目的,否则造成一切后果自负!如帖子内容侵害到你的权益,请联系我们!
防范网络诈骗,远离网络犯罪 违法和不良信息举报电话0663-3422125,QQ: 793400750,邮箱:wp@125.la
Powered by Discuz! X3.4 揭阳市揭东区精易科技有限公司 ( 粤ICP备12094385号-1) 粤公网安备 44522102000125 增值电信业务经营许可证 粤B2-20192173

快速回复 返回顶部 返回列表