我正在为视频游戏编写反作弊软件。使用 CreateToolhelp32Snapshot 我可以获得打开进程的列表。从那里我想找到每个进程的地址并通读它的 .exe 文件。虽然这适用于大多数进程,但受保护的进程拒绝访问 OpenProcess 或 GetModuleFileNameEx 等方法。假设我的应用程序以管理员身份运行,是否有办法找到受保护的进程地址?
问问题
202 次
1 回答
0
作弊引擎不是受保护的进程,99.9% 的作弊也不是。您可以在 Process Hacker 中检查 exe 的证书,您会看到它只有代码签名,没有受保护的进程名称。
如果您无法访问作弊者的内存,那是因为他们正在使用内核驱动程序对其进行保护。如果你想接触这个进程,你还必须在内核中运行。如果他们以某种方式创建了一个 PP,那么您需要在内核中。
他们也可以使用许多用户模式方法来保护自己,他们可以简单地将 OpenProcess() 挂接到每个正在运行的进程中,包括您的进程,并在您尝试打开他们的进程时返回 0。
您需要获取作弊副本并对其进行逆向工程以弄清楚它是如何保护自己的,然后您可以开始删除或绕过这些保护措施。
于 2020-05-15T22:27:49.480 回答