查看: 2505|回复: 0

[学习交流] CF 几种检测搜法 + 机器码全方面讲解

[复制链接]
       
灌水成绩
主题
帖子
积分
等级头衔
ID:112405
等级:勇者魔法师
头衔:易语言霸主Ysjt、凌何
积分成就
威望:70
贡献:0
种子:6
在线时间:181 小时
注册时间:2019-6-5
最后登录:2023-12-30
勋章

萌新普通会员小哥哥源码大师破解大师黄金会员百万富豪主题王在线达人全能王灌水之王热心肠问题少年安全之心

联系方式
发表于 2020-1-28 16:03:54 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?立即注册

x
首先 说说基础的检测
有一些小白懒到有人发个检测 就认为是大佬 其实不然!

检测 分静态/动态  什么是静态呢?意思是有模块的检测,例如TenRpcs.dll+***** Tcj.dll+***** 这些有模块地址的都是静态检测

什么是动态呢?他没有模块 是服务器发送的 例如特征码:55 8B 704000 然后处理特征全局就是动态

功能检测是啥呢?例如你修改了人物透视 就会有个专门检测你人物有没有被修改的检测 这就叫功能检测,

还有就是 自瞄压根没检测 其实都是行为检测 hook会导致三方 图标也会 当然爆头 行为 举报计次 都会导致异常弹窗然后掉线追封.

只要接触到内存的几乎都追封 无一例外.

下面说一些基础的检测
动态1:访问客户端 mov动态地址 直接下段 断出来的地址 上面的call进去 8B 704000 特征取E9 写90 判读167地址访问
然后取下面的第一个Je地址进去 push+7 取特征 判断E9 写C3

还有就是164 出现164弹窗暂停游戏 搜索字串 您的客户端 第一个绿色地址 直接访问动态地址 看寄存器F结尾的 TenRpcs第一条返回的数据空指令 还有第一条返回的gamerpcs也空指令 即可稳定操死164和166

362比较多了 随便说几个 首先线程工具 销毁所有tcj 然后出来一个外部的tp异常弹窗,这个弹窗地址肯定是crossfirebase.dll 直接访问顶层地址 空指令 即可过掉362 而且不追封

说一下 162跟04没有任何关系 crossfire的进程就是04

至于行为检测 你可以全局过掉 也可以单独过掉

内存对比网劫还是很难的 说几个小常识
F结尾无效验 动态地址不要随意乱动 千万别碰04

————————————————————————
下面說一下機器碼

首先机器码是 从2018年一月份开始的,内时候是game模块单纯的记录网卡数值 然后cshell一个机器码弹窗让你掉线。

现在tp自己新增加了个模块 poli开头的 tcls ntcls tguard都会有这个模块

意思就是 腾讯加载这个模块 如果没加载成功 就会提示您的游戏缺少这个文件 然后让你重装游戏

其实我们可以用其他文件顶替这个文件 例如我去年原创的用bugtrack替换这个文件还有隔离文件 或者占用文件 都是一样的效果!

为啥有些用户异常呢?这个就逗比了,我发现tp的crossfirebase有条地址专门检测poli存不存在 如果不存在 就会提示你网络异常 然后还能重新上游戏

那么这里有个bug点,你直接用源文件登陆游戏,频道提示机器码,然后你掉线,然后再隔离模块,在上游戏就不会异常了,这是为啥呢,首先这个crossfirebase不是循环的 是计次的,只要出现机器码地址了,他检测到机器码模块了.就不会检测第二次。达到无异常的目的.

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|小黑屋|TC辅助网 |网站地图

GMT+8, 2024-11-24 13:11 , Processed in 0.056783 second(s), 19 queries , MemCached On.

powered by 屠城社区! X3.4

© 2001-2019 屠城辅助网.

快速回复 返回顶部 返回列表