给网游写一个挂吧（一） – 反反外挂驱动的驱动

去年做了一些研究，研究做外挂的一些相关技术，打算放出来跟大家分享，分享一下我们做挂的一些思路，挂的原理，希望抛砖引玉。

 

外挂说白了就是用程序代替人去操纵游戏，模拟人向游戏程序发送键盘、鼠标消息。一般的流程就是：

1、 通过Windows系统的OpenProcess API打开目标进程 – 也就是游戏，以便能读写目标内存的数据，甚至是调用目标进程的函数，比如某些世界级的游戏里的Lua函数，或者游戏本身的C/C++函数。

2、 通过ReadVirtualMemory和WriteVirtualMemory来 读取和修改一些关键信息，比如说人物的生命值，人物的坐标，游戏里地图上各个元素等等。

3、 接着

a)         要么就是调用游戏里的一些函数，绕过游戏客户端的一些约束，调用角色里的一些非常强大的功能，从而快速杀怪。但这种方法的缺点很明显，服务器会做很多的检查判定你是挂从而封杀你。

b)         要么就是直接向游戏进程发送键盘、鼠标等消息，通过判定地图上的障碍物、怪物之类的东西过地图，当然杀怪也是通过模拟按键来完成。

 

然而随着外挂对游戏的破坏性影响，反外挂和外挂的反反外挂技术都已经在内核层缠斗了，比如：

1、 为了防止外挂调用Windows系统的一系列关键API（例如OpenProcess、Read/WriteVirtualMemory等），网游程序一般都会在游戏启动时在Windows操作系统上加载一个驱动程序，这个驱动程序的目的就是修改一系列关键API的代码，有时也会将游戏进程在系统中隐藏掉，从而使用户态的外挂和调试器无法访问游戏进程。

2、 为了防止外挂制作者通过内核调试技术来分析游戏对系统关键API的代码修改，反外挂驱动启动后一般都会禁用内核调试（反调试技术、反调试技术二）。

3、 另外游戏程序也会屏蔽Windows系统用来向游戏进程发送键盘、鼠标等消息的函数。

4、 为了防止游戏里的关键数据被轻易修改，一般生命值这些东西游戏程序都会将其加密，使用一个加密函数去读写。

5、 另外为了防止外挂杀怪太强从而影响游戏的平衡，一般来说从游戏服务器端，一张地图里的怪物坐标、类型等数据，是一点点传到客户端的。

6、 还有很多……（我自己经验也不够，一时半会也枚举不完）。

 

那么做外挂的第一步，就是破解这个反外挂驱动，否则不仅没办法操控游戏进程，也没有办法使用调试器逆向分析游戏里的一些关键数据，于是通常的做法是：

1、 首先破解反外挂驱动的禁用内核调试的手段，一般都是通过Windbg和虚拟机用内核调试技术来完成的。

2、 然后找出反外挂驱动对系统API的更改。

3、 然后再写一个驱动程序，绕过反外挂驱动对系统API的更改。

 

但上面的方法有点累，因为破解禁用内核调试的手段就需要进行一些逆向了，而且还要对反外挂驱动逆向，比较麻烦。但是它并没有禁用本地内核调试功能和内存文件生成的功能，因此我们可以使用这种方式调试和开发驱动，简便程度比双机内核调试差一点点。

1、 使用本地内核调试：

windbg -kl

2、 生成内存（dump）文件：

修改\HKLM\SYSTEM\CurrentControlSet\Control\CrashControl里的：

AutoReboot

CrashDumpEnabled

         1 – 代表完全保存物理内存内容

         2 – ?

         3 – minidump

 

如果修改为1，BSOD（蓝屏）之后，完全内存保存在%windir%\memory.dmp

如果修改为3，BSOD（蓝屏）之后，minidump保存在%windir%\minidump\文件夹下面。

 

还有一个比较简单的方法，就是你在自己的破解驱动里，故意往SSDT写一些垃圾数据，然后导致系统BSOD（蓝屏），重启机器后用windbg打开dump打开memory.dmp文件，执行!analyze –v命令会自动给你显示所有被hook的函数和hook的地址、代码等等信息，这样可以直接做完第1和第2步。

 

最后剩下的编码就比较简单了，具体的代码请参看以前的博客：破解XXX游戏驱动保护过程总结、另外有个朋友的破解过程写的很详细，也建议大家看看：过 DNF TP驱动保护（一）。

 

最后如果大家对调试技术感兴趣的话，可以考虑购买我的新书： 应用程序调试技术，这套视频除了讲解调试的技巧外，还尽量完整地讲解了周边用到的技术，这是因为调试技术要好的话，需要基础功和背景知识扎实才行。

 

 谢谢大家，未完待续……