一键检测CE模块，通过枚举DLL思路实现

憨憨问号

前排提醒：
1.本帖仅针对大众化情况，能够绕开检测的肯定还会有，请不要回复抬杠言论
2.源码内主要代码均写了简洁明了的注释，帮助萌新理解代码含义
3.本帖只是思路，并不完善，需要广大易友继续完善，不要过掉检测之后就来盖楼跳脸


众所周知，CE修改器能对许多程序进行修改和破J，一些开发者不希望自己的程序被破J，就研究许多方法来检测CE


我先前发过CRC内存校验模块，这能够检测到CE是否对内存进行了篡改


【2025开源大赛】一键校验内存是否被修改--CRC内存校验模块
https://bbs.125.la/forum.php?mod=viewthread&tid=14847466
(出处: 精易论坛)


但这个方法有一个弊端，如果黑ke只是单纯的修改数值，并不修改内存汇编码，CRC校验就无法检测到了


之前有个想法，通过窗口标题，或者类名，控件，属性等方法来直接检测CE进程，但这些都是可以修改的，只要改掉检测就不攻自破了。


今天突然想到能否检测CE必须要调用的DLL，这样一来就从根源解决问题了


简单研究了下，发现无论什么版本，CE启动时都会带有lua53-32.dll/lua53-64.dll（32位版本/64位版本）这个DLL


除非重新编译一份CE，手动修改其中的代码，否则CE必定会调用这两个DLL（有没有懂的？讲一下这两个DLL能不能去掉或者改名字？我目前找到的各种版本CE都有这俩DLL）


成品效果如下：

我总共开启了四个不同的CE，首先是官方的32位，64位，以及论坛内大佬分享的修改特征后可过大多数游戏检测的64位CE。


CE最新版编译过DVBM驱动过大部分检测（应该能够检测）
https://bbs.125.la/forum.php?mod=viewthread&tid=14829041

自用CE。X64去除关键字，特征，过部分进程检测。（能够检测）
https://bbs.125.la/forum.php?mod=viewthread&tid=14792964



经过测试，全都可以完美检测并结束进程（更多的版本我没有找到）


我知道这时候肯定有人说：
“如果我用xx定制版CE，没有这两个DLL，不就检测不到了吗”


的确，用这样的方法无法检测，但依旧还有一些解决办法


情况1：如果是已经泛滥的二改CE，可以手动添加其调用到的DLL来进行检测


情况2：如果是极其少见的特殊定制二改CE，掌握这种技术的人一定也是在少数，掌握特殊定制CE程序的人也一定是少数（如果是多数人掌握那就又变成情况1了）


简而言之，这只是一个简单的思路，真正想防住破J要下的功夫可不是这么简单！


顺带一提，我还尝试制作了OD的检测，传统的52pj版和冷门过游戏检测版我都找到了一些共同都有的、启动即调用的DLL，我没像CE那样做太细致的研究，大家可以自行测试，继续完善！


模块成品+源码+gif一并打包，回复可见


枚举DLL实现检测CEOD模块.rar (1.16 MB, 下载次数: 108, 售价: 2 枚 精币)

2025-2-7 01:10 上传

点击文件名下载附件
售价: 2 枚 精币  [记录]
下载积分: 精币 -2 枚

卿卿吖

感谢分享，很给力！~

abc0521

DXF已经异常

abc0521

之前用没事，现在检测出环境异常了

mywood

66666666666666

90统帅

模块只是一个写法思路，开发者可自行添加更多的可疑DLL进去应用在自己的软件上，不用告诉我xxx可以

stonfen

赞~谢谢楼主

yangxuan87

66666666666666

wudihaowei00

        感谢分享，很给力！~

乱跑的和风

感谢分享，很给力！~