TC官方合作论坛
标题:
【防检测第二篇】神乎其神的的行为检测1:鼠标检测
[打印本页]
作者:
野猪
时间:
2013-9-17 10:03
标题:
【防检测第二篇】神乎其神的的行为检测1:鼠标检测
================================以下内容出自看雪cvcvxk大神文章===================================
开始写这些东西只是想说明几件事儿:
1.这个世界有矛,必有盾,相反有盾,也必有矛。世界上没有不透风的墙。
2.有些东西不是传说中的那么神。
3.传说是怎么来的。
游戏圈里很多走上快速发财道路的人对行为检测这个说法不陌生,
从这个词诞生以来,各种封号统一说法行为检测,
然后一直就有人想过各种对抗(什么数值模拟,什么技能模拟),
结果一直没啥明显的效果,
最后悲情的开始宣传行为检测完全是游戏服务器对于数据分析做出来的。
其实真相不是这样的...
所谓行为检测,其实可以看作几种检测的组合加上一个简单到可怕的监控策略。
首先是程序代码暗桩,不是说这些暗桩 人看不到,只是由于VM的原因,很多人大脑自动忽略了暗桩——在这里重审一下,代码VM化,真的杀伤性强大...
曾几何时一个简单的Flag标记和一小段比较坐标移动记录的代码搞残无数高人,
还曾几何时一个简单的不可见标记的暗桩搞残无数全屏...
由于不知道找不到暗桩,所以开始有人大声宣扬这是行为检测。
然后是神秘信息通信动态检测,这里的神秘信息很多,有进程,有窗体,有各种各样的东西(cpuid,mac,bios,硬盘,系统版本,安装过的软件等等一个不能少)
这些东西拿来检测什么呢?主要是判定多开,多账户同一机器登录等等,甚
甚至有的会上传未知进程和运行模块的文件等等东西...
而这一切都可以是一段随时随地到达机器上的shellcode模样的东西(某公司使用的是明文lua脚本,某某公司使用抽象代码——自带解释器??),
于是由于进行逆向分析的人员没有长期监控研究,所以发现不了这种动态检测,
于是被XX后又有一些不愿意继续被坑下去的人就开始加入大叫行为检测的行列。
最后是一个策略,这个策略就是不进行即时处理,比如一个检测发现问题了,可以等3天后把检测出问题的机器上登录过检测出的问题的帐号统一封号,或者干脆第二天把与检测到的帐号发生交易行为最多的帐号封号...于是又有人大叫行为检测。
说这些到底有木有真正的行为检测,其实是有的,但是基本不多见,也没几个真的大规模应用(自己猜想服务器负担吧~~)
这里开始想说说检测code是怎么写的。这里不讨论进程,窗体这些常见信息的检测。
假设被检测的东西已经完美突破各种暗桩,各种ws的扫描。
本篇就先来一个日了无数纯CALL模型的辅助的检测吧。
下面每篇再多讲一些~
关键性的代码很简单
服务器发个请求XX检测的包过来
本地返回下面代码计算的数据
代码:
DWORD GetInputAwayTime(){ LASTINPUTINFO lpi; lpi.cbSize = sizeof(lpi); GetLastInputInfo(&lpi); return DWORD((GetTickCount()-lpi.dwTime)/1000);}
作用就是计算键盘,鼠标,手柄这类设备有多少秒不操作了~~
这个代码是有很多变形的,比如使用IdleUIGetLastInputTime这个api,
或者通过设备钩子记录最后输入时间(有的游戏甚至用驱动去记录的...)
服务器根据你的操作离开时间长短和进行了那些不可能离开操作的事情来判断...
==========================================文章点结束==========================================
对于我们是小鸟的!管不了游戏公司或者大漠啊天使啊他们怎么实现的。所以我们也只能从我自身做起。
该怎么防止此类检测呢。我有了自己的想法,在这里跟大家分享一下
行为检测还有很多很多检测手段 我们只能把我们所知道的一一接上对策。想得到的方法全部用上 基本可以杜绝80%的行为检测
下一章继续讲解【神乎其神的行为检测2】
谢谢大家~求鲜花
By~野猪
作者:
tC_邪念
时间:
2013-9-17 10:16
必须顶的.
作者:
sspray
时间:
2013-9-17 10:17
213123123
作者:
z0230226
时间:
2013-9-17 10:30
111111111111
作者:
农民工作室
时间:
2013-9-17 10:30
通俗易懂 值得学习借鉴
作者:
978249858
时间:
2013-9-17 10:37
谢谢分享...........
作者:
fyt_ai
时间:
2013-9-17 10:42
。。。
作者:
youranlyly
时间:
2013-9-17 10:52
谢谢!顶
作者:
baiwuyiyong
时间:
2013-9-17 10:54
ewrewrewrwe
作者:
w3325182
时间:
2013-9-17 10:59
不管是什么检查,关键是过不了,有没有小白级别的过检测
作者:
Sky_Pro
时间:
2013-9-17 11:00
那个神好像写过一个系列的,顶你~~~
作者:
awdrhwadrdzl
时间:
2013-9-17 11:03
回复
1楼
野猪
的帖子
112521325546
作者:
hu863063648
时间:
2013-9-17 11:09
回复
1楼
野猪
的帖子
必须的顶起
作者:
hu863063648
时间:
2013-9-17 11:11
回复
1楼
野猪
的帖子
神了,用超级鼠标也不错
作者:
pdsleo
时间:
2013-9-17 11:12
学习学习
作者:
TC大侠
时间:
2013-9-17 11:13
确实如此
作者:
huyuqqa
时间:
2013-9-17 11:16
啥玩意,看看
作者:
zgzjwzlx
时间:
2013-9-17 11:52
作者:
dongyijun1979
时间:
2013-9-17 12:12
必须顶,现在看不懂,总有我看懂的一天
作者:
llxy
时间:
2013-9-17 12:12
谢谢分享...........
作者:
b1028zxc2008
时间:
2013-9-17 12:17
~~~~~~~~~~~~~~~~~~~~~~~~~~~~
作者:
1357501545
时间:
2013-9-17 12:33
好好学习一下
作者:
heeman
时间:
2013-9-17 12:47
猪老大,不得了了
作者:
指天椒
时间:
2013-9-17 13:23
kankan
作者:
shadow
时间:
2013-9-17 13:27
看看那啊啊啊啊啊
作者:
jianqiumy
时间:
2013-9-17 14:15
野猪大哥又发好东西了~辛苦了~~~我来学习
作者:
jianqiumy
时间:
2013-9-17 14:21
这个问题 我和大哥想法一样! 刚好我几前天开一条线程~~做个前台鼠标移动~多少分钟随机移动一下
作者:
sky2810
时间:
2013-9-17 14:26
通俗易懂 值得学习借鉴
作者:
qwxppcc
时间:
2013-9-17 14:57
作者:
zhmap
时间:
2013-9-17 15:44
支持一个,来学习下
作者:
twiliam
时间:
2013-9-17 16:45
不做伸手党 看看的说
作者:
gba2025104
时间:
2013-9-17 20:27
我是小白,学习一下
作者:
九先生
时间:
2013-9-17 20:48
xuexixuexi!!
作者:
coolook
时间:
2013-9-17 21:33
学习学习。。
作者:
yogibear
时间:
2013-9-18 08:34
看看
作者:
月yue
时间:
2013-9-18 10:09
作者:
icetc
时间:
2013-9-18 16:07
zhege hao a 值得学习~
作者:
勤奋好学
时间:
2013-9-18 18:57
偶是小白
作者:
xxx123a
时间:
2013-9-18 21:18
.
作者:
yyt198511
时间:
2013-9-18 21:36
回复
1楼
野猪
的帖子
以免导致脚本错误
作者:
348625228
时间:
2013-9-18 21:53
xuexi
作者:
兔子丶
时间:
2013-9-18 23:34
来看看
作者:
Newzqg
时间:
2013-9-19 06:46
Vbjkklll
作者:
a735311619
时间:
2013-9-19 10:09
恢复
作者:
molunshang
时间:
2013-9-19 11:25
必须的顶起
作者:
498518599
时间:
2013-9-19 11:47
回复
1楼
野猪
的帖子
h87h77g7h
作者:
xpaaaa
时间:
2013-9-19 12:46
学习学习!
作者:
tcshuangxi1906
时间:
2013-9-19 12:50
看看看
作者:
zc317414
时间:
2013-9-19 13:37
学习借鉴
作者:
zxl19891030
时间:
2013-9-19 13:41
11111
作者:
caicai0558
时间:
2013-9-19 13:55
学习一下
作者:
kfcckk
时间:
2013-9-19 14:16
顶完再看,看了再顶.
作者:
q741230412
时间:
2013-9-19 16:17
zzzzzzzzzzzz
作者:
hckoyb
时间:
2013-9-19 21:03
顶顶顶顶顶
作者:
pg0776
时间:
2013-9-19 22:41
回复
1楼
野猪
的帖子
很牛逼很给力啊~
作者:
aii888
时间:
2013-9-20 09:46
作者:
tc_ldl
时间:
2013-9-20 11:15
回复
1楼
野猪
的帖子
感激万分对TC还不是很了解
作者:
2596060677
时间:
2013-9-20 11:22
传说
作者:
gbkof2001
时间:
2013-9-20 11:56
必须顶的.
作者:
qq8850218
时间:
2013-9-20 16:12
非常好
作者:
sunshuwei1613
时间:
2013-9-20 17:17
看看
作者:
as128214121
时间:
2013-9-20 18:38
老大加油努力。。!!
作者:
行尘
时间:
2013-9-20 23:35
看看看看看
作者:
dshp4050
时间:
2013-9-21 01:33
回复
1楼
野猪
的帖子
技术牛牛
作者:
saga
时间:
2013-9-21 01:52
顶也得顶不顶也得顶!
作者:
lyfhzh
时间:
2013-9-21 10:40
回复
1楼
野猪
的帖子
学习学习
作者:
guanhui518
时间:
2013-9-21 12:12
11111111111
作者:
shuogege
时间:
2013-9-21 13:18
作者:
w371291
时间:
2013-9-21 15:07
顶贴再看,谢谢楼主了!
作者:
qq06314488
时间:
2013-9-21 20:00
11111111111111
作者:
我是冰冻的番茄
时间:
2013-9-21 21:07
作者:
ifishTC
时间:
2013-9-21 21:32
回复
1楼
野猪
的帖子
回复为学习
作者:
236686595
时间:
2013-9-21 22:05
鲜花
作者:
931889694
时间:
2013-9-21 22:39
顶起哦
作者:
大兵
时间:
2013-9-22 08:41
顶的
作者:
joohyun520
时间:
2013-9-22 08:44
谢谢了 ,,,,,,,,,,,,
作者:
joohyun520
时间:
2013-9-22 08:45
垃圾 去你妈的吧
作者:
alukaduo09
时间:
2013-9-22 08:45
好久没上论坛了, 刚来就碰到个好帖. 鲜花送上
作者:
chltczz
时间:
2013-9-22 09:05
ddddddddddddddd
作者:
阿杰哥
时间:
2013-9-22 15:25
牛人啊
作者:
komyluo
时间:
2013-9-22 17:03
好好学习一下
作者:
tang19820707
时间:
2013-9-22 17:47
回复
1楼
野猪
的帖子
buxkan d
作者:
vshonker
时间:
2013-9-22 23:37
学学学习啊
作者:
25705871
时间:
2013-9-23 06:58
看看
作者:
wilsonye
时间:
2013-9-23 09:08
不管是什么检查,关键是过不了,有没有小白级别的过检测
作者:
B哥
时间:
2013-9-23 09:20
。。。大神呀。
作者:
迷糊
时间:
2013-9-23 17:52
看看 ~~~~~~~~~~~~~
作者:
mzbqhbc
时间:
2013-9-23 23:07
回复
1楼
野猪
的帖子
个vuvjhjh
作者:
q273814
时间:
2013-9-24 01:04
顶 -
作者:
ksap787523
时间:
2013-9-24 10:58
1111111111111
作者:
、汇达
时间:
2013-9-24 12:09
回复
1楼
野猪
的帖子
感谢分享 进来看下
作者:
1184183079
时间:
2013-9-24 19:20
终于见到组织了
作者:
capsl566566
时间:
2013-9-24 19:29
11111111111
作者:
qq462621349
时间:
2013-9-24 22:00
检测啊检测
作者:
chendejia
时间:
2013-9-25 14:16
回复
1楼
野猪
的帖子
支持一哈
作者:
李老虎
时间:
2013-9-25 14:20
有想法是很好的
作者:
455720650
时间:
2013-9-25 18:08
牛`额[code][/code]
作者:
yyqukq
时间:
2013-9-26 00:09
说我演验证码错误。。。
作者:
efgh1212
时间:
2013-9-26 08:13
hjjhbyjh
作者:
小杰01
时间:
2013-9-26 19:00
继续学习
欢迎光临 TC官方合作论坛 (http://bbs.52tc.co/)
Powered by Discuz! X3.1
谢谢大家~求鲜花
看看