之前在谈网易的反作弊的时候有个吧友说,随便下个断点就崩溃这件事,我没来得及回复贴子就被举报删帖了。
然后吃饭的时候我逛了下看雪,发现这不是个例。实际上网易的部分游戏不是下个断点就崩溃,而是执行到断点就崩溃。看雪的坛友有回复楼主说crc检测int3的,首先不去谈效率问题。crc的崩溃怎么都是有延迟的。因此我稍微看了一下。发现他是通过ZwSetInformationThread 设置 threadhidefromdebugger这个标志位来使断点崩溃。
其实重点不是这个啦,上个图
网易使用的进程枚举方法用来检测CE等外挂。使用内核层的PsInitialSystemProcess来枚举进程,以前还是使用NtQuerySystemInfomation的,这是升级过了。
然后吃饭的时候我逛了下看雪,发现这不是个例。实际上网易的部分游戏不是下个断点就崩溃,而是执行到断点就崩溃。看雪的坛友有回复楼主说crc检测int3的,首先不去谈效率问题。crc的崩溃怎么都是有延迟的。因此我稍微看了一下。发现他是通过ZwSetInformationThread 设置 threadhidefromdebugger这个标志位来使断点崩溃。
其实重点不是这个啦,上个图
网易使用的进程枚举方法用来检测CE等外挂。使用内核层的PsInitialSystemProcess来枚举进程,以前还是使用NtQuerySystemInfomation的,这是升级过了。
