CF 几种检测搜法 + 机器码全方面讲解

显示全部楼层 · 发表于 2020-1-28 16:03:54

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？立即注册

x

首先说说基础的检测
有一些小白懒到有人发个检测就认为是大佬其实不然！

检测分静态/动态什么是静态呢？意思是有模块的检测，例如TenRpcs.dll+***** Tcj.dll+***** 这些有模块地址的都是静态检测

什么是动态呢？他没有模块是服务器发送的例如特征码:55 8B 704000 然后处理特征全局就是动态

功能检测是啥呢？例如你修改了人物透视就会有个专门检测你人物有没有被修改的检测这就叫功能检测,

还有就是自瞄压根没检测其实都是行为检测 hook会导致三方图标也会当然爆头行为举报计次都会导致异常弹窗然后掉线追封.

只要接触到内存的几乎都追封无一例外.

下面说一些基础的检测
动态1:访问客户端 mov动态地址直接下段断出来的地址上面的call进去 8B 704000 特征取E9 写90 判读167地址访问
然后取下面的第一个Je地址进去 push+7 取特征判断E9 写C3

还有就是164 出现164弹窗暂停游戏搜索字串您的客户端第一个绿色地址直接访问动态地址看寄存器F结尾的 TenRpcs第一条返回的数据空指令还有第一条返回的gamerpcs也空指令即可稳定操死164和166

362比较多了随便说几个首先线程工具销毁所有tcj 然后出来一个外部的tp异常弹窗，这个弹窗地址肯定是crossfirebase.dll 直接访问顶层地址空指令即可过掉362 而且不追封

说一下 162跟04没有任何关系 crossfire的进程就是04

至于行为检测你可以全局过掉也可以单独过掉

内存对比网劫还是很难的说几个小常识
F结尾无效验动态地址不要随意乱动千万别碰04

————————————————————————
下面說一下機器碼

首先机器码是从2018年一月份开始的，内时候是game模块单纯的记录网卡数值然后cshell一个机器码弹窗让你掉线。

现在tp自己新增加了个模块 poli开头的 tcls ntcls tguard都会有这个模块

意思就是腾讯加载这个模块如果没加载成功就会提示您的游戏缺少这个文件然后让你重装游戏

其实我们可以用其他文件顶替这个文件例如我去年原创的用bugtrack替换这个文件还有隔离文件或者占用文件都是一样的效果！

为啥有些用户异常呢？这个就逗比了，我发现tp的crossfirebase有条地址专门检测poli存不存在如果不存在就会提示你网络异常然后还能重新上游戏

那么这里有个bug点，你直接用源文件登陆游戏，频道提示机器码，然后你掉线，然后再隔离模块，在上游戏就不会异常了，这是为啥呢，首先这个crossfirebase不是循环的是计次的，只要出现机器码地址了，他检测到机器码模块了.就不会检测第二次。达到无异常的目的.

[学习交流] CF 几种检测搜法 + 机器码全方面讲解

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

浏览过的版块

萌新

普通会员

小哥哥

源码大师

破解大师

黄金会员

百万富豪

主题王

在线达人

全能王

灌水之王

热心肠

问题少年

安全之心