Under the hood

互联网上新生活
  博客园  :: 首页  :: 新随笔  :: 联系 :: 订阅 订阅  :: 管理

暴雪和黑客的战争三:黑客的反击

Posted on 2008-10-16 10:59  sting feng  阅读(756)  评论(0编辑  收藏  举报
暴雪在1.10补丁中加入hack检测机制,在某种程度上直接导致了原本和谐的D2X游戏黑客社群的分裂。一部分出于对检测机制的顾虑,停止更 新自己的作品,如d2hackit;另一部分则把他们的hack具有的反检测功能当成卖点开始收费,如d2maphack和d2jsp;还有一部分黑客出 于不满开始制作这些收费hacks的替代品,如d2hackmap,C3PO,d2bs等;甚至有些黑客出来破解这些收费hacks。

如前一篇文章所说,暴雪在1.10中加入packet 64/65检测。最早公布packet 64被用作hack检测的是jhj。当然Mousepad在jhj之前就已知道这一点,但是他当时正打算对maphack收费,反检测是一大卖点,因此一 直没有公布。在jhj公布了他的发现后,我检查了相关代码,又发现了packet 65也被用作hack检测。

如前文的分析,packet 64/65检测用的都是memory probe方法,那么memory probe该怎么对付呢?一种简单的想法是在客户端截获packet 64/65检测,不让它返回检测结果。截获packet 64/65检测思路是对的,但不返回检测结果其实也是一种信息,暴雪完全可能根据这点判断你在使用hacks,最不济也会把你踢下线,显然不是好的做法。 对付memory probe,更好的做法是伪造检测结果。这需要截获packet 64/65检测,然后根据要检测的内存地址返回该地址被修改前的数据(如果已经被修改了的话),这样无论检测哪个地址,检测结果都和没有使用hacks时 的一样。

具体到实现方法,大约又有三种。

一种是hack在安装旁路点时,先保存原先的数据,这样在遇到检测时就能知道patch前的数据。使用这种方法的有d2maphack、d2jsp等。这种方法最简单,实现起来也容易,占用额外内存也不大。缺点只能保护自己,不能保护其他hacks。

第二种方法由jhj实现,其原理是在加载任何hack之前,先对游戏中用到的重要的dll做备份,这样就获得了这些dll干净的副本。然后截获 packet 64/65检测入口,根据检测地址,从干净的副本中返回相应的数据。这就是jhj在 1.10时期发布的antidetection.dll。这种方法最大的优点是通用,可以保护其它hacks-其他hack不需要有任何反检测措施就能避 开检测。但是这种实现也有不小的缺陷。其一是它必须抢在其他所有hack之前加载,否则无法获得干净副本-如果无法获得干净副本这种方法就完全失去意义- 这在有些情况下是不容易做到的,比如无人职守的BOT。其二是所有重要的dll都要备份,这会额外消耗不少内存,对机器配置差或者多开BOT的玩家有很大 影响。其三是antidection.dll只备份了它认为重要的dll,而不是所有dll,这样如果有的hack修改的dll不在它的保护范围,还是有 可能被抓到。

第三种方法由我实现,称之为模块重建法(module re-construction),首先在d2hackmap中实现,后来ABin升级d2hackit时请我帮忙实现anti-detection模 块,因此我又把它集成进了d2hackit 2.00版本中。这种方法的思路是截获packet 64/65检测入口(显然所有反检测方法都需要这一步),根据检测地址判断出目标模块名称和其在硬盘文件路径,然后从该模块的硬盘文件开始重建一份干净的 副本,最后从干净的副本中返回相应的数据。这种方法在没有检测活动时(其实1.10时期packet 64/65检测很少出现)不会消耗额外内存,可保护所有dll,也无需抢先加载。我个人觉得是一种比较理想的方法。当然,模块重建法的难点在于如何从一个 dll文件重建一份和已加载模块被修改前完全一样的副本(其实是代码段和只读数据段完全一样,读写数据段无所谓),这在以后的文章中应该有机会介绍到。

另外,除了packet 64/65检测,别忘了1.10以前一直就有的version-checking.dll和extrawork.dll机制。虽然它们在前1.10时期从 未被用作hack检测,但是显然暴雪在1.10时期开始重视打击hacks,因此也不得不防。回想一下这两处机制,由于这两个dll都存放在服务器端,必 要时发送到客户端运行并返回结果。不让它们运行显然是不行的。并且显然它们的检测手段也是无限、未知的,伪造检测结果也不可行。那该怎么办呢?

对付这种手段的一种比较有效的方法是,截取并保存尽可能多的从服务器端传过来的dll,逐一分析,标出安全的和不安全的,并对每个dll建立签名 (signature)。这样在每次客户端接收到dll时,先计算出其签名然后和已事先分析过的所有dll签名比较,这样就可知道该dll安不安全(即能 否检测出我的hack),如果安全则让它执行,如果不安全则hack会自己卸载,然后再让该dll执行。这样就不会被它抓到。另外对于未知模块(即该 dll的签名不在列表里),应该把它保存下来以供事后分析,同时为保安全hack自己卸载,在以后分析后再把它标识为安全或不安全。当然对于不安全的模块 还应进一步研究反检测方法然后把它标为安全模块。d2maphack、d2jsp采取的都是这种策略。d2hackmap由于我后来没有太多精力人工分析 这些模块,因此只在配置文件里设置开关变量,指示d2hackmap遇到这些模块时如何处理(有忽略、卸载自身、保存模块文件并卸载自身三种选择)。至于 jhj的AntiDetection.dll是没有这方面的反检测保护的。事实证明这种策略是比较有效的。一个可能的原因是由于设计所限,这种发送dll 检测机制尚不具备快速变形、频繁运行的能力。

总之在1.10时期,暴雪和黑客之间的对抗以黑客的胜利告终-在整个1.10时期,我的记忆中没有出现大规模BAN CD-KEY和封帐号事件。