开启辅助访问 切换到宽版

精易论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

用微信号发送消息登录论坛

新人指南 邀请好友注册 - 我关注人的新帖 教你赚取精币 - 每日签到


求职/招聘- 论坛接单- 开发者大厅

论坛版规 总版规 - 建议/投诉 - 应聘版主 - 精华帖总集 积分说明 - 禁言标准 - 有奖举报

查看: 3022|回复: 173
收起左侧

[易语言纯源码] 一键检测CE模块,通过枚举DLL思路实现

  [复制链接]
回帖奖励 4 枚 精币 回复本帖可获得 1 枚 精币奖励! 每人限 1 次(中奖概率 60 %)
结帖率:100% (20/20)
发表于 2025-2-7 01:18:11 | 显示全部楼层 |阅读模式   河南省新乡市
分享源码
界面截图:
是否带模块: 纯源码
备注说明: -
前排提醒:
1.本帖仅针对大众化情况,能够绕开检测的肯定还会有,请不要回复抬杠言论
2.源码内主要代码均写了简洁明了的注释,帮助萌新理解代码含义
3.本帖只是思路,并不完善,需要广大易友继续完善,不要过掉检测之后就来盖楼跳脸


所周知,CE修改器能对许多程序进行修改和破J,一些开发者不希望自己的程序被破J,就研究许多方法来检测CE


我先前发过CRC内存校验模块,这能够检测到CE是否对内存进行了篡改


【2025开源大赛】一键校验内存是否被修改--CRC内存校验模块
https://bbs.125.la/forum.php?mod=viewthread&tid=14847466
(出处: 精易论坛)


但这个方法有一个弊端,如果黑ke只是单纯的修改数值,并不修改内存汇编码,CRC校验就无法检测到了


之前有个想法,通过窗口标题,或者类名,控件,属性等方法来直接检测CE进程,但这些都是可以修改的,只要改掉检测就不攻自破了。


今天突然想到能否检测CE必须要调用的DLL,这样一来就从根源解决问题了


简单研究了下,发现无论什么版本,CE启动时都会带有lua53-32.dll/lua53-64.dll(32位版本/64位版本)这个DLL


除非重新编译一份CE,手动修改其中的代码,否则CE必定会调用这两个DLL(有没有懂的?讲一下这两个DLL能不能去掉或者改名字?我目前找到的各种版本CE都有这俩DLL)


成品效果如下:
录制_2025_02_07_00_42_40_512.gif
我总共开启了四个不同的CE,首先是官方的32位,64位,以及论坛内大佬分享的修改特征后可过大多数游戏检测的64位CE。


CE最新版编译过DVBM驱动过大部分检测(应该能够检测)
https://bbs.125.la/forum.php?mod=viewthread&tid=14829041

自用CE。X64去除关键字,特征,过部分进程检测。(能够检测)
https://bbs.125.la/forum.php?mod=viewthread&tid=14792964



经过测试,全都可以完美检测并结束进程(更多的版本我没有找到)


我知道这时候肯定有人说:
“如果我用xx定制版CE,没有这两个DLL,不就检测不到了吗”


的确,用这样的方法无法检测,但依旧还有一些解决办法


情况1:如果是已经泛滥的二改CE,可以手动添加其调用到的DLL来进行检测


情况2:如果是极其少见的特殊定制二改CE,掌握这种技术的人一定也是在少数,掌握特殊定制CE程序的人也一定是少数(如果是多数人掌握那就又变成情况1了


简而言之,这只是一个简单的思路,真正想防住破J要下的功夫可不是这么简单!


顺带一提,我还尝试制作了OD的检测,传统的52pj版和冷门过游戏检测版我都找到了一些共同都有的、启动即调用的DLL,我没像CE那样做太细致的研究,大家可以自行测试,继续完善!


模块成品+源码+gif一并打包,回复可见


枚举DLL实现检测CEOD模块.rar (1.16 MB, 下载次数: 99, 售价: 2 枚 精币)

点评

本模块只是一个写法思路,开发者可自行添加更多的可疑DLL进去应用在自己的软件上,不用告诉我xxx可以过检测!   河南省新乡市  发表于 2025-2-7 13:27
检测进程并取注册表取运行过的exe程序,定位程序路径目录,取可疑目录文件名匹配特征库,要符合策略特征直接干它就完事了!   海南省琼海市  发表于 2025-2-7 13:00
可以往检测全部子窗口类名与类名数量和检测截屏幕后的CE界面特征图是否存在来提升强度~   海南省琼海市  发表于 2025-2-7 10:08

评分

参与人数 21好评 +1 精币 +20 收起 理由
ican8 + 1 感谢分享,很给力!~
jc520hll + 1 感谢分享,很给力!~
ma4747 + 1 感谢分享,很给力!~
t176 + 1 感谢分享,很给力!~
无尘666 + 1 感谢分享,很给力!~
3266167 + 1 感谢分享,很给力!~
huangdi9569 + 1 感谢分享,很给力!~
pj小黑屋 + 1 感谢分享,很给力!~
liy456 + 1 感谢分享,很给力!~
zjbin1989 + 1 感谢分享,很给力!~
文西哥 + 1 感谢分享,很给力!~
望尘莫及 + 1 感谢分享,很给力!~
暮光之城 + 1 感谢分享,很给力!~
黯丄辶 + 1 感谢分享,很给力!~
风雨3137 + 1 感谢分享,很给力!~
sundanming + 1 感谢分享,很给力!~
初阳123 + 1 感谢分享,很给力!~
Zźh926 + 1 感谢分享,很给力!~
huangdi956 + 1 感谢分享,很给力!~
hackjoe + 1 感谢分享,很给力!~
beatone + 1 支持开源~!感谢分享

查看全部评分


发表于 4 天前 | 显示全部楼层   江西省南昌市
模块只是一个写法思路,开发者可自行添加更多的可疑DLL进去应用在自己的软件上,不用告诉我xxx可以
回复 支持 反对

使用道具 举报

结帖率:100% (2/2)

签到天数: 1 天

发表于 2025-3-19 21:54:33 | 显示全部楼层   福建省泉州市
赞~谢谢楼主
回复 支持 反对

使用道具 举报

结帖率:100% (2/2)

签到天数: 1 天

发表于 2025-3-15 17:07:25 | 显示全部楼层   四川省成都市
66666666666666

回复 支持 反对

使用道具 举报

发表于 2025-3-12 10:13:11 | 显示全部楼层   江苏省常州市

回帖奖励 +1 枚 精币

        感谢分享,很给力!~
回复 支持 反对

使用道具 举报

签到天数: 2 天

发表于 2025-3-10 17:57:50 | 显示全部楼层   河南省周口市
感谢分享,很给力!~
回复 支持 反对

使用道具 举报

发表于 2025-3-7 16:52:59 | 显示全部楼层   四川省成都市

回帖奖励 +1 枚 精币

谢谢,分享
回复 支持 反对

使用道具 举报

结帖率:30% (6/20)

签到天数: 3 天

发表于 2025-3-5 20:36:18 | 显示全部楼层   江西省九江市

回帖奖励 +1 枚 精币

#在这里快速回复#VX消息定时发送
回复 支持 反对

使用道具 举报

签到天数: 3 天

发表于 2025-3-5 09:34:32 | 显示全部楼层   江苏省南京市

回帖奖励 +1 枚 精币

感谢感谢
回复 支持 反对

使用道具 举报

结帖率:88% (7/8)
发表于 2025-3-3 20:16:57 | 显示全部楼层   黑龙江省大庆市

感谢分享,很给力!~
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则 致发广告者

发布主题 收藏帖子 返回列表

sitemap| 易语言源码| 易语言教程| 易语言论坛| 易语言模块| 手机版| 广告投放| 精易论坛
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表精易立场!
论坛帖子内容仅用于技术交流学习和研究的目的,严禁用于非法目的,否则造成一切后果自负!如帖子内容侵害到你的权益,请联系我们!
防范网络诈骗,远离网络犯罪 违法和不良信息举报电话0663-3422125,QQ: 793400750,邮箱:wp@125.la
网站简介:精易论坛成立于2009年,是一个程序设计学习交流技术论坛,隶属于揭阳市揭东区精易科技有限公司所有。
Powered by Discuz! X3.4 揭阳市揭东区精易科技有限公司 ( 粤ICP备12094385号-1) 粤公网安备 44522102000125 增值电信业务经营许可证 粤B2-20192173

快速回复 返回顶部 返回列表