此為本人學習、無聊研究用,為了要備份文章,所以才發在這裡。
作者介紹:
名叫Vxk
又名為killvxk
看雪學院的ID叫cvcvxk
是國內外都很著名的Windows內核開發高手。
十年前活躍於國內著名病毒技術論壇CVC,是中國大陸知名的病毒技術專家。
對操作系統內核以及編程,逆向, 非常精通。
被很多人稱為:技術全能專家。
曾出現在網絡流傳的所謂的“頂級黑客名單”上。
經常活躍在國內外各大知名內核開發論壇,
連老外也經常提及老V這樣的稱呼。
發表很多技術文章,公開了不少經典的內核代碼程序,並帶領了很多內核開發新手。
作者在網路上的ID:中國大陸-看雪學院-cvcvxk
文章版權所有人:看雪學院-cvcvxk
------------正文開始------------
開始寫這些東西只是想說明幾件事:
1.這個世界有矛,必有盾,相反有盾,也必有矛。世界上沒有不透風的牆。
2.有些東西不是傳說中的那麼神。
3.傳說是怎麼來的。
遊戲圈裡很多走上快速發財道路的人對行為檢測這個說法不陌生,
從這個詞誕生以來,各種封號統一說法行為檢測,
然後一直就有人想過各種對抗(什麼數值模擬,什麼技能模擬),
結果一直沒啥明顯的效果,
最後悲情的開始宣傳行為檢測完全是遊戲服務器對於數據分析做出來的。
其實真相不是這樣的...
所謂行為檢測,其實可以看作幾種檢測的組合加上一個簡單到可怕的監控策略。
首先是程序代碼暗樁,不是說這些暗樁人看不到,只是由於VM的原因,很多人大腦自動忽略了暗樁——在這裡重審一下,代碼VM化,真的殺傷性強大...
曾幾何時一個簡單的Flag標記和一小段比較坐標移動記錄的代碼搞殘無數高人,
還曾幾何時一個簡單的不可見標記的暗樁搞殘無數全屏...
由於不知道找不到暗樁,所以開始有人大聲宣揚這是行為檢測。
然後是神秘信息通信動態檢測,這裡的神秘信息很多,有進程,有窗體,有各種各樣的東西(cpuid,mac,bIOS,硬盤,系統版本,安裝過的軟件等等一個不能少)
這些東西拿來檢測什麼呢?主要是判定多開,多賬戶同一機器登錄等等,甚
甚至有的會上傳未知進程和運行模塊的文件等等東西...
而這一切都可以是一段隨時隨地到達機器上的shellcode模樣的東西(某公司使用的是明文lua腳本,某某公司使用抽象代碼——自帶解釋器??),
於是由於進行逆向分析的人員沒有長期監控研究,所以發現不了這種動態檢測,
於是被XX後又有一些不願意繼續被坑下去的人就開始加入大叫行為檢測的行列。
最後是一個策略,這個策略就是不進行即時處理,比如一個檢測發現問題了,可以等3天后把檢測出問題的機器上登錄過檢測出的問題的帳號統一封號,或者乾脆第二天把與檢測到的帳號發生交易行為最多的帳號封號...於是又有人大叫行為檢測。
說這些到底有木有真正的行為檢測,其實是有的,但是基本不多見,也沒幾個真的大規模應用(自己猜想服務器負擔吧~~)
第一篇就到這裡吧,後面從第二篇,我開始講講一些具體的檢測code是怎麼寫的~~
|