NProtect GameGuard是壹款知名的反作弊軟件。當玩家使用某個插件時(無論任何遊戲的插件,即使不是當前遊戲的插件),都會提示“遊戲已被破解修改”,強行關閉遊戲。
什麽是nProtect?
Nrotect是壹個新概念的基於網絡的反黑客和反病毒工具,旨在保護個人計算機終端免受病毒和黑客程序的攻擊。他幫助確保所有輸入個人電腦終端的信息不會落入網絡黑客之手。當最終用戶執行電子商務時,他們可以通過在提供電子商務、進口貿易和電子商務的金融機構的網站上配置nProtect來提高安全級別。
nProtect是如何工作的?
NProtect是壹種基於服務器的解決方案,當任何需要保護的網絡應用程序運行時,它會自動啟動。NProtect加載到內存中,因此最終用戶不需要安裝任何應用程序。只要啟動nProtect,他們就會開始拒絕黑客工具和病毒的入侵!
nProtect是如何工作的?
當用戶登錄時,NProtect會自動啟動。
瀏覽器確認並自動將安全模塊安裝到用戶的個人計算機上。
掃描黑客工具和病毒
通知用戶當前的安全狀態。
如果有黑客工具和病毒試圖刪除
當它被入侵時,客戶端將駐留在內存中鎖定黑客工具,直到計算機或nProtect關閉。
介紹了nProtect GameGuard的主要功能:
實時檢測和阻止修改遊戲的黑客程序。
實時檢測和攔截各種系統病毒。
實時檢測和阻止加速程序。
實時檢測和阻止自動鼠標(點擊)程序。
阻止不適當的插件程序。
阻止各種旨在遠程控制玩家個人電腦的動作。
限制有意記錄鍵盤和鼠標動作的惡意程序。
限制可疑的間諜軟件並加強安全性。
使用這個軟件的網遊有很多,比如:冒險島國服、信川在線、希望在線等等。
先說下新版本冒險島的外掛問題:
目前在服務器上可以屏蔽的壹般都是高速戰鬥,即兩場戰鬥之間的數據傳輸時間間隔小於遊戲設定的最小時間(比如最快的攻擊是用刀砍,假設這個時間是2秒,壹個ip長時間發送攻擊指令(包括攻擊指令的包),可以強制ip斷開,但不能作為封號的證據)。高速采集原理類似,瞬移也是。
什麽是數據包?客戶端和服務器之間的數據是壹個數據包。
學過計算機的人都應該知道,計算機網絡按照OSI參考模型分為七層:
1層:物理層;傳輸單位是比特流,即比特。
第二層:數據鏈路層;傳輸單元是幀,即幀
第三層:網絡層;該層傳輸分組,即分組。
第四層:傳輸層;傳輸單元是壹個段,即壹個段。
第五層:會話層;建立聯系並保持暢通。
第六層:表示層;將信息“表示”成壹種格式可以理解為“格式轉換”
第7層:應用層。為軟件提供接口,以便程序可以使用網絡服務。
數據在網絡中的傳輸不是壹整段,而是分成小塊,因為分散所以打包。大家可以理解為“把東西收拾起來,搬家的時候帶著”。
目前遊戲中嵌入了插件,攔截、修改、重構遊戲收發的數據包。
另壹方面,nProtect GameGuard真的很強大。在我從冒險島更新它,它來到我的硬盤後,我的ZoneAlarm防火墻開始報警,說它想監控妳的進度,並訪問網絡。唉,沒辦法,為了有個奇遇,只好放手了。
嘗試訪問互聯網
監控冒險島進程
剪下遊戲後,妳會在右下角找到這個東西,翻譯過來就是“nProtect遊戲監視器624版”
什麽是ZoneAlarm?ZoneAlarm是世界著名的防火墻之壹,其威力只有在使用時才知道。
對了,世界頂級防火墻是Look n Stop。可惜中文系統用起來問題很多,我就跟著用了(先別打廣告了,免得有人扔磚)。
這種場合,我想大家都認為冒險島的純情時代又來了吧?
很遺憾,答案是否定的。
很多人說nProtect GameGuard很厲害,但是我想告訴妳:中國人更厲害!!
裂縫防護:
NProtect GameGuard在啟動後使用SetWindowsHookEx(註入DLL)進入所有進程,它在
OpenProcess()
ReadProcessMemory()
WriteProcessMemory()
PostMessage()
。。。。。。。。。。以此類推,在函數頭部添加JMP XXXXXX的代碼,跳轉到監控程序中進行監控,如果發現有遊戲被操作,將會攔截該操作,所以上述函數都無法正常工作。因此,避免了插件問題。
解決方案:
1.動態鏈接庫(如user32.dll kernel32.dll等。)被復制並重命名,函數由LoadLibrary和GetProcAddress加載。
若要使用LoadLibrary和GetProcAddress加載函數,您需要Visual Studio。NET,或者其中的Visual Basic和Visual C++。當然,妳也需要用到它們,妳也需要知道nProtect GameGuard運行時調用了哪些動態鏈接庫(這個時候,讓我們盡壹切可能,如果妳錯了。。。。。妳要對後果負責。。。。。。。。。)
2.在JMP XXXXXX恢復代碼。
技術要求高,也很危險,不知道還會不會再改。。。。。。壹旦失敗,後果自負。。。。。。
3.如果nProtect GameGuard非正常關閉(取決於每個人的技術),JMP XXXXXX的代碼將無法恢復,監控程序代碼已被卸載。這時如果鉤子程序調用函數。。。。。。妳要對後果負責。。。。。。
反正失敗後的後果也好不到哪裏去,除了電腦爆炸,每個人都要為自己著想,所以小心,小心,再小心!
跳過nProtect:
首先要明確的是,nProtect是通過連接其更新服務器來獲取最新的文件內容,然後與本地文件進行對比。如果它發現服務器端的文件與本地文件不壹致,它將再次從更新服務器下載文件,以更新本地nProtect文件。如果nProtect更新成功,並且新的nProtect截獲了插件,那麽nProtect每次更新插件時都會失效是很自然的事情。
通過分析遊戲客戶端使用的IP列表文件來分析遊戲程序及其對應的遠程連接,找出nProtect更新服務器的地址,分析出官方nProtect更新服務器上的目錄文件結構。
目錄文件結構壹般是:“更新服務器名\\GameGuard”
首先,構建壹個模擬的nProtect更新服務器。服務器上的目錄文件結構和官方的壹樣,更新後的下載文件內容使用了舊nProtect的內容(先不要刪除舊客戶端。。。。。)
將真實nProtect更新服務器的地址解析為您構建的模擬nProtect更新服務器的IP地址。
例如:127 . 0 . 0 . 1gg . much ina . com。
寫入system32\\drivers\\etc的主機文件。
這個主機文件為系統TCP/IP協議配置IP解析服務,沒有後綴。可以用記事本或UE32打開和編輯。
通常壹款網遊的流暢運行就是連接服務器上的多個IP(“n protect服務”、“連接服務”、“數據服務”、“登錄服務”、“主服務”)。。。。。。。)
而這壹系列的服務都是通過啟動並運行壹個主遊戲程序(如《命運》的“WYDLaucher.exe”,《奇跡》的“Main.exe”,《冒險島》的“MapleStory.exe”)來完成的。
因為主機文件被修改了,nProtect更新的連接IP被解析為指向自己的模擬更新服務器,而模擬服務器上的“更新文件”是舊版本,所以nProtect不會更新到新版本,但是版本會倒推。以後也不會更新了。。。。。。。。
還有壹種方法是直接修改遊戲主程序的代碼內容,也就是暴力修改。
因為nProtect的功能是附加在遊戲主程序的開頭的,所以通過破解遊戲主程序,將nProtect的執行部分代碼標記為無效,很自然的跳過nProtect。
對了,壹個模擬的nProtect更新服務器的構建可以在本地機器上完成(nProtect更新IP:127.0.0.1)。配有VM虛擬機(多個系統的VM虛擬可以設置不同的IP);或者...。。。。可以設置另壹臺機器來完成這項工作。。。。。
還有就是脫殼的方法不太實用,因為壹個網遊完整的客戶端主程序的脫殼工作非常繁重,需要更多的CPU服務器級技能才能更高效的完成(根據程序外殼的加密方式不同,雙P4 1.8G/1G RAM的系統在main.exe會脫殼半天左右。。。。。。),經過炮轟,並不是每個人都有能力對程序進行適當的修改,高級C語言編程能力的要求是跑不掉的。這個還是有點太難了。。。。。。。
好了,關於nProtect就講到這裏吧。我相信中國人是強大的,插件會在不久的將來再次和我們見面。其實只是時間問題。。。。。
妳聽說過“兩手抓,兩手都要硬”嗎?此處引用,代理商無權直接與外掛制作者打交道。這個權利只有法律才有,代理人只能受到法律的打擊。代理人屬於強勢群體,應當履行“誰主張,誰舉證”的原則。問題就出在這個證據上。在網上,很難舉出某個人的所有節目。這也是為什麽外部特洛伊病毒滿天飛,而國內卻無法對其進行打擊的原因。所以代理商只能通過規範遊戲的用戶來清理外掛。這就是當前冒險中標題的原因!
既然要說強組,球員就是弱組。代理說妳用了外掛。妳能檢查壹下嗎?抵制外掛,從自己做起。有些人很不滿意。為什麽變速器齒輪是密封的?我的意見是“想封都封”,壹個都不留。想想2004年的那次冒險,沒有變速器我們不是玩得很開心嗎?沒有變速,時間長了就適應了。
這次隆重宣稱的所謂集成反外掛程序,原來是nProtect,就像壹把鎖:防君子防小人。不管鎖有多厲害,只要妳想擺脫它,就壹定有辦法。NProtect也是壹樣,不過還是時間問題。。。。。