一个编写传奇封外挂(反外挂)系统的完成过程 - 线程监测篇

admin

一个编写传奇封外挂(反外挂)系统的完成过程 - 线程监测篇
编写游戏外挂时、免不了需要用到线程知识。一般会使用到远程线程注入（远程CALL）和代码注入并启动线程来运行被注入的代码（或DLL）。通过对线程的监控可检测到非法外挂的使用情况。

一、远程线程注入
   远程线程注入可注入DLL或一段独立的shellcode代码、注入DLL和注入shellcode的过程大同小异。一般过程如下：

1、先使用OpenProcess函数打开进程

2、 使用VirtualAllocEx函数开辟新的空间用于存储shellcode代码或要注入的dll文件路径

3、使用 WriteProcessMemory函数将数据写入第2步开辟的空间

4、使用CreateRemoteThread函数启动新的线程执行注入代码。

注入DLL演示代码:

1. BOOL remoteCall_dll(DWORD dwPid,char* szDllPath)
   
2. {
   
3.         //打开进程
   
4.         HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, false, dwPid);
   
5.         if (!hProcess)
   
6.         {
   
7.                 return FALSE;
   
8.         }
   
9. 
   
10.         //开辟空间
    
11.         LPVOID lpDllPathAddress = VirtualAllocEx(hProcess, NULL, strlen(szDllPath) + 1, MEM_COMMIT, PAGE_READWRITE);
    
12.         if (!lpDllPathAddress)
    
13.         {
    
14.                 CloseHandle(hProcess);
    
15.                 return FALSE;
    
16.         }
    
17. 
    
18.         //写入要注入的DLL地址
    
19.         if (!WriteProcessMemory(hProcess, lpDllPathAddress, szDllPath, strlen(szDllPath) + 1, NULL))
    
20.         {
    
21.                 VirtualFreeEx(hProcess, lpDllPathAddress, 0, MEM_RELEASE);
    
22.                 CloseHandle(hProcess);
    
23.                 return FALSE;
    
24.         }
    
25. 
    
26.         //获取LoadLibraryA函数地址，一般来说不同进程的函数地址是不同的
    
27.         //但是同一个操作系统下系统DLL一般加载地址相同，所以可简单地认为本进程的 LoadLibraryA 与目标进程的 LoadLibraryA 地址是相同的
    
28.         HMODULE hModlKernel32 = GetModuleHandleA("kernel32.dll");
    
29.         if (!hModlKernel32)
    
30.         {
    
31.                 VirtualFreeEx(hProcess, lpDllPathAddress, 0, MEM_RELEASE);
    
32.                 CloseHandle(hProcess);
    
33.                 return FALSE;
    
34.         }
    
35.         LPTHREAD_START_ROUTINE fnLoadLibrary = (LPTHREAD_START_ROUTINE)GetProcAddress(hModlKernel32, "LoadLibraryA");
    
36. 
    
37.         //启动远程线程运行 LoadLibraryA
    
38.         HANDLE hRemoteThread = CreateRemoteThread(hProcess, NULL, 0, fnLoadLibrary, lpDllPathAddress, 0, NULL);
    
39.         if (!hRemoteThread)
    
40.         {
    
41.                 VirtualFreeEx(hProcess, lpDllPathAddress, 0, MEM_RELEASE);
    
42.                 CloseHandle(hProcess);
    
43.                 return FALSE;
    
44.         }
    
45. 
    
46.         WaitForSingleObject(hRemoteThread, INFINITE);
    
47.         VirtualFreeEx(hProcess, lpDllPathAddress, 0, MEM_RELEASE);
    
48.         CloseHandle(hRemoteThread);
    
49.         CloseHandle(hProcess);
    
50.         return TRUE;
    
51. }

复制代码

注入shellcode演示代码：

1. BOOL remoteCall_shellcode(DWORD dwPid, char* szShellcode, DWORD dwCodeLength, LPVOID lpParameter)
   
2. {
   
3.         //打开进程
   
4.         HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, false, dwPid);
   
5.         if (!hProcess)
   
6.         {
   
7.                 return FALSE;
   
8.         }
   
9. 
   
10.         //开辟空间
    
11.         LPVOID lpCodeAddress = VirtualAllocEx(hProcess, NULL, dwCodeLength, MEM_COMMIT, PAGE_READWRITE);
    
12.         if (!lpCodeAddress)
    
13.         {
    
14.                 CloseHandle(hProcess);
    
15.                 return FALSE;
    
16.         }
    
17. 
    
18.         //写入要注入的 shellcode 代码
    
19.         if (!WriteProcessMemory(hProcess, lpCodeAddress, szShellcode, dwCodeLength, NULL))
    
20.         {
    
21.                 VirtualFreeEx(hProcess, lpCodeAddress, 0, MEM_RELEASE);
    
22.                 CloseHandle(hProcess);
    
23.                 return FALSE;
    
24.         }
    
25. 
    
26.         //启动远程线程运行 shellcode
    
27.         HANDLE hRemoteThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)lpCodeAddress, lpParameter, 0, NULL);
    
28.         if (!hRemoteThread)
    
29.         {
    
30.                 VirtualFreeEx(hProcess, lpCodeAddress, 0, MEM_RELEASE);
    
31.                 CloseHandle(hProcess);
    
32.                 return FALSE;
    
33.         }
    
34. 
    
35.         WaitForSingleObject(hRemoteThread, INFINITE);
    
36.         VirtualFreeEx(hProcess, lpCodeAddress, 0, MEM_RELEASE);
    
37.         CloseHandle(hRemoteThread);
    
38.         CloseHandle(hProcess);
    
39.         return TRUE;
    
40. }

复制代码

二、如何通过线程检测外挂
    我们已经知道外挂会向我们的游戏进程注入代码启动线程，那么我们就可以通过对线程的检测来判断玩家是否使用外挂。比如知名的简X挂，就是注入一段代码在user32.dll的节空闲空间，然后启动线程来执行的。

      需要注意：通过线程检测游戏外挂有一些特殊情况需要处理，比如说输入法有时候也会启动线程，安全软件也可能会启动新线程，win10,win11的内存压缩功能也会启动新线程。会给我们通过线程来判断是否外挂的方案造成干扰。

    应对办法： 一) 尽量采集这些合法的线程特征，加以排除。二) 对确定是外挂的线程特征加入黑名单。具体实施方案请大家自行思考处理。做成服务器端收集这些线程数据，再人为判断加入特诊库的方式，类似杀毒软件的特征库。

   但是本文介绍另一种简单的懒得维护特征库的方法，配合内存模块监测法一起使用。我们不求一种方案能完全监测出所有的外挂，只要能监测出一类特征就行。将我们整个系列介绍的所有方法汇集在一起合理地使用、基本就可以杜绝所有的外挂形式了。这里介绍的方法我把它叫做‘’野线程监测法”，所谓野线程，就是我们可以预料的所有合法空间（野空间）以外的线程。其中合法空间包括PE文件正常代码节空间，和自己所申请的空间。而第三方外挂进程通过 VirtualAllocEx 函数申请的空间自然就在合法空间之外。我们可以简单地判断：只要是线程的启动地址（甚至定时监测线程的eip地址），只要在野空间中，就判定为是非法外挂。

   这里判断线程可以使用线程枚举或通过peb获取线程列表、还有一种是被加载进内的DllMain函数也会接收到线程的启动和结束事件 DLL_THREAD_ATTACH/DLL_THREAD_DETACH。枚举线程会用到这些函数 CreateToolhelp32Snapshot、Thread32First、Thread32Next 以及使用微软未公开函数 ZWQueryInformationThread来获取线程的入口地址。

1. typedef enum _THREADINFOCLASS {
   
2.              ThreadBasicInformation = 0,
   
3.              ThreadTimes = 1,
   
4.              ThreadPriority = 2,
   
5.              ThreadBasePriority = 3,
   
6.              ThreadAffinityMask = 4,
   
7.              ThreadImpersonationToken = 5,
   
8.              ThreadDescriptorTableEntry = 6,
   
9.              ThreadEnableAlignmentFaultFixup = 7,
   
10.              ThreadEventPair_Reusable = 8,
    
11.              ThreadQuerySetWin32StartAddress = 9,
    
12.              ThreadZeroTlsCell = 10,
    
13.              ThreadPerformanceCount = 11,
    
14.              ThreadAmILastThread = 12,
    
15.              ThreadIdealProcessor = 13,
    
16.              ThreadPriorityBoost = 14,
    
17.              ThreadSetTlsArrayAddress = 15,   // Obsolete
    
18.              ThreadIsIoPending = 16,
    
19.              ThreadHideFromDebugger = 17,
    
20.              ThreadBreakOnTermination = 18,
    
21.              ThreadSwitchLegacyState = 19,
    
22.              ThreadIsTerminated = 20,
    
23.              ThreadLastSystemCall = 21,
    
24.              ThreadIoPriority = 22,
    
25.              ThreadCycleTime = 23,
    
26.              ThreadPagePriority = 24,
    
27.              ThreadActualBasePriority = 25,
    
28.              ThreadTebInformation = 26,
    
29.              ThreadCSwitchMon = 27,   // Obsolete
    
30.              ThreadCSwitchPmu = 28,
    
31.              ThreadWow64Context = 29,
    
32.              ThreadGroupInformation = 30,
    
33.              ThreadUmsInformation = 31,   // UMS
    
34.              ThreadCounterProfiling = 32,
    
35.              ThreadIdealProcessorEx = 33,
    
36.              ThreadCpuAccountingInformation = 34,
    
37.              ThreadSuspendCount = 35,
    
38.              ThreadActualGroupAffinity = 41,
    
39.              ThreadDynamicCodePolicyInfo = 42,
    
40.              MaxThreadInfoClass = 45,
    
41. } THREADINFOCLASS;
    
42. 
    
43. typedef DWORD(WINAPI* type_ZWQueryInformationThread)(
    
44.             _In_      HANDLE          ThreadHandle,
    
45.             _In_      THREADINFOCLASS ThreadInformationClass,
    
46.             _In_      PVOID           ThreadInformation,
    
47.             _In_      ULONG           ThreadInformationLength,
    
48.             _Out_opt_ PULONG          ReturnLength
    
49.         );
    
50. 
    
51. HMODULE hMod_Ntdll = LoadLibraryA("ntdll.dll");
    
52. 
    
53. type_ZWQueryInformationThread ZWQueryInformationThread =  (type_ZWQueryInformationThread )GetProcAddress(hMod_Ntdll ,"ZWQueryInformationThread");
    

复制代码

下面是本项目实际开发中用到的函数部分参考

1. 
   
2. void game_thread::detectthread(bool bForInit)
   
3. {
   
4.         int i;
   
5.         //枚举线程，检查线程函数地址是否在模块空间内
   
6.         THREADENTRY32 te32 = { 0 };
   
7.         te32.dwSize = sizeof(THREADENTRY32);
   
8.         HANDLE hThreadSnap = g_pApis->CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);
   
9.         if (hThreadSnap == INVALID_HANDLE_VALUE)
   
10.         {
    
11.                 return;
    
12.         }
    
13.         DWORD dwCurPID = g_pApis->GetCurrentProcessId();
    
14.         if (g_pApis->Thread32First(hThreadSnap, &te32))
    
15.         {
    
16.                 do
    
17.                 {
    
18.                         if (te32.th32OwnerProcessID == dwCurPID)
    
19.                         {
    
20.                                 cslock lock(this->m_threadlist_pcs);
    
21.                                 GAME_THREAD_ITEM_INFORMATION* pinfo = this->findinfo(te32.th32ThreadID);
    
22.                                 if (pinfo == NULL || pinfo->iswhite == FALSE)
    
23.                                 {
    
24.                                         HANDLE hThread = g_pApis->OpenThread(THREAD_ALL_ACCESS, FALSE, te32.th32ThreadID);
    
25.                                         //获取线程地址 dwStartAddress = 0 的是主线程 ，在 bForInit = true 时已加入白名单
    
26.                                         DWORD dwStartAddress = 0;
    
27.                                         if (g_pApis->ZWQueryInformationThread(hThread, THREADINFOCLASS::ThreadQuerySetWin32StartAddress, (PVOID)&dwStartAddress, sizeof(dwStartAddress), NULL) == 0L
    
28.                                                 && dwStartAddress != 0
    
29.                                                 )
    
30.                                         {
    
31.                                                //具体处理过程隐藏，请按照自己的项目需要自行设计
    
32.                     }
    
33.                                 }
    
34.                                 if (pinfo != NULL)
    
35.                                 {
    
36.                                         pinfo->detect_count++;
    
37.                                 }
    
38.                         }
    
39.                 } while (g_pApis->Thread32Next(hThreadSnap, &te32));
    
40.         }
    
41.         g_pApis->CloseHandle(hThreadSnap);
    
42. 
    
43.         //计数累加
    
44.         if (!bForInit)
    
45.         {
    
46.                 this->m_detect_called_count++;
    
47.         }
    
48. 
    
49.         {
    
50.                 cslock lock(this->m_threadlist_pcs);
    
51. 
    
52.                 for (i = 0; i < this->m_thread_list.Get_Count(); i++)
    
53.                 {
    
54.                         GAME_THREAD_ITEM_INFORMATION* pinfo = this->m_thread_list.Get_ItemAt(i);
    
55.                          
    
56.                         //具体处理过程隐藏，请按照自己的项目需要自行设计
    
57.                 }
    
58.         }
    
59. 
    
60.        
    
61. }

复制代码

总结

    本文主要介绍通过野线程判定法判断是否正在使用外挂的情况。