我怎样才能完全找不到程序(程序已知)?

时间:2016-02-05 10:20:34

标签: security memory-editing cheat-engine

这个问题有点复杂。我想隐藏"欺骗引擎"从一些检测器程序。他们在运行程序列表中检查作弊引擎名称,并检查内存中的某些特殊字符串或数据以检测该程序。我如何制作完全无法检测的程序(已知)。

我尝试了一些技巧,例如" Windows Title Changer"但那些检测器正在检查内存以进行检测。所以我应该更改该程序的内存数据。但我不知道我该怎么做。有什么想法?
提前谢谢..

1 个答案:

答案 0 :(得分:1)

你的目标不是制作一个完全未被发现的节目"而是绕过开发人员使用的反作弊/反调试程序中存在的检测机制。原因是因为你不能做出某些东西"完全未被发现"它是猫和老鼠的游戏,你只需要保持领先一步或在必要时更新,一旦你被发现就再次绕过。

解决方案是对检测方法进行逆向工程,其中一半是反复试验,另一半是逆转正在执行的装配指令并弄清楚它们的作用。这确实是一种艺术形式。您还需要考虑学习作弊引擎如何工作,因为它可以检测到它使用的某些技术,如附加调试器和打开过程的句柄。

要绕过字符串检测,您可以使用十六进制编辑器打开CheatEngine.exe,对字符串" Cheat Engine"进行查找和替换。并用胡言乱语取代它,不要忘记做unicode。您还必须更改文件夹名称,因为它还包含违规字符串。这检测到作弊引擎的基本检测。从那里开始的下一步是使用IsDebuggerPresent()或通过手动检查Process Environment Block或PEB中的调试器标志来检测调试器。您可以通过修补功能或覆盖PEB中的标志来绕过这些功能。

有几乎无限的方法来检测对进程内存的未授权访问。

彼得·费里写道"终极反调试参考"这是必读的。