level 8
hzqst
楼主
巴黎
总是有人尬吹拳头,这里给大家全面科普一下
1.反作弊的名字叫vanguard
2.代码使用拳头自己开发的packman保护(外服LOL的stub.dll也使用的packman),基本就是不重要的代码变异插花,关键代码虚拟化,加大外挂制作者分析反作弊的难度,保护强度大约等于TX的TVM,略强于外挂大手子和BE、EAC用的VMP。
3.核心策略是类似faceit的开机加载驱动(boot类型),阻止后续一切有问题的驱动加载(比如16年大手子经常滥用的VBOX漏洞驱动,以及19年被滥用的intel网卡驱动)。因为他需要保证自己在系统boot阶段加载,所以第一次安装后要求你重启电脑(这也意味着网吧不能用)。如果强行修改它的驱动代码让他支持动态加载,则会触发封号(认识有做网吧无盘系统的带哥测试了一下)
4.挂了句柄回调摘除进程句柄的读写权限,意味着带哥用Windows API 无法正常读写游戏内存,也意味着带哥必须使用驱动才能读写游戏的内存。
5.驱动读写的话第三条已经挡下了90%的带哥,除非自己买合法签名(4000~8000RMB不等)或者找新的拳头尚未拉黑的漏洞驱动。漏洞驱动不是到处有,合法签名如果被拳头逮到了也会拉黑。走驱动这条路如果你太张扬了一定会死。
6.既然vanguard的驱动在boot阶段加载,那能不能比他更早加载,不让他拦截呢?EFI驱动可以做到,缺点是必须关闭Secure Boot,而且要进BIOS设置一堆,巨麻烦,只能自己玩玩,根本做不了可以售卖的挂。
7.拦截了有问题的dll,不让注入游戏,这就把带哥触碰游戏内存的第二条路也堵死了。
8.游戏本体是UE4做的,GNames UWorld等关键数据和PUBG一样都加密了(看过PUBG外挂的都懂我在说什么)。***,游戏出来没两天就被人把数据加密给撸穿了。
9.某次更新之后过滤了模拟的鼠标键盘输入,用驱动就可以bypass,这个只是恶心恶心用AHK的脚本小子
10.其他一些常规的检测,BE/EAC/TP/FACEIT都有,没什么特别的。只是vanguard会不断的打开系统中所有进程进行谜の操作(可能是扫描内存)所以会搞得装了vanguard的电脑很卡。
11.vanguard是否会截图?我的猜测是不会,首先这个用户量下截图是不可能人工看的,训练AI的话一定会有很多误报,而且人家光做自瞄你啥也截不到。像大厂TP/BE/EAC那些都是没有截图的,BE保护的游戏里面有一个PUBG会定时截图,BE只是检测是否有反截图。
12.用虚拟机能玩吗?能不能把挂放在虚拟机外面,游戏跑在虚拟机里面来防止被抓?答案是kvm+gpu直通可以,其他虚拟机都不行,像vmware vbox那种拉跨的虚拟机,vanguard有一万种方法来检测你,一旦发现你是虚拟机就不让你玩了。kvm可以的前提是修改过固件,让SMBIOS表里面查不出kvm是虚拟机,总之带哥要搞的话会相当麻烦。而且kvm的cpu内存性能损失也不小,需要比较强劲的硬件。优点是一旦搞成了就无视封机器码。
13.走PCI-E通道DMA读写内存的硬件作弊可以吗?答案是可以但是说不定会封号,ESEA和faceit两三年前就在抓这块了,拳头不至于这都整不明白。而且有人分析vanguard驱动时发现了疑似DMA硬件的IO指令。
14.鼠标宏可以吗?软件宏参考第9条,硬件宏的话它本身就是正常的USB输入,你叫神仙来也检测不了,除非是那种太离谱的帕金森抖动倒是可能封号,很平滑的那咋宏就真没办法了。
15.机器码可以过吗?答案是可以过,前提是你得把所有可能被记录特征的硬件全换了,包括但不限于:显示器、显卡、每一块硬盘、每一块网卡、局域网环境下的每一个其他硬件的MAC地址(比如手机、路由器),顺便记得把操作系统也彻底重装
有人说鼠标键盘也有序列号,这种只是极少数,你拿100个不同品牌的键盘来查一下说不定只有一两个有序列号,大多数都是只有一个厂商名字,序列号是空。
总结:虽然这套策略看上去很美好,但是在国内这种流氓软件横行的环境下根本无法普及。如果瓦罗兰特要开国服是肯定会上TP,不会用它那套vanguard的。兼容性这块儿你都不整明白你还开什么国服?
2020年07月03日 16点07分
1
总是有人尬吹拳头,这里给大家全面科普一下
1.反作弊的名字叫vanguard
2.代码使用拳头自己开发的packman保护(外服LOL的stub.dll也使用的packman),基本就是不重要的代码变异插花,关键代码虚拟化,加大外挂制作者分析反作弊的难度,保护强度大约等于TX的TVM,略强于外挂大手子和BE、EAC用的VMP。
3.核心策略是类似faceit的开机加载驱动(boot类型),阻止后续一切有问题的驱动加载(比如16年大手子经常滥用的VBOX漏洞驱动,以及19年被滥用的intel网卡驱动)。因为他需要保证自己在系统boot阶段加载,所以第一次安装后要求你重启电脑(这也意味着网吧不能用)。如果强行修改它的驱动代码让他支持动态加载,则会触发封号(认识有做网吧无盘系统的带哥测试了一下)
4.挂了句柄回调摘除进程句柄的读写权限,意味着带哥用Windows API 无法正常读写游戏内存,也意味着带哥必须使用驱动才能读写游戏的内存。
5.驱动读写的话第三条已经挡下了90%的带哥,除非自己买合法签名(4000~8000RMB不等)或者找新的拳头尚未拉黑的漏洞驱动。漏洞驱动不是到处有,合法签名如果被拳头逮到了也会拉黑。走驱动这条路如果你太张扬了一定会死。
6.既然vanguard的驱动在boot阶段加载,那能不能比他更早加载,不让他拦截呢?EFI驱动可以做到,缺点是必须关闭Secure Boot,而且要进BIOS设置一堆,巨麻烦,只能自己玩玩,根本做不了可以售卖的挂。
7.拦截了有问题的dll,不让注入游戏,这就把带哥触碰游戏内存的第二条路也堵死了。
8.游戏本体是UE4做的,GNames UWorld等关键数据和PUBG一样都加密了(看过PUBG外挂的都懂我在说什么)。***,游戏出来没两天就被人把数据加密给撸穿了。
9.某次更新之后过滤了模拟的鼠标键盘输入,用驱动就可以bypass,这个只是恶心恶心用AHK的脚本小子
10.其他一些常规的检测,BE/EAC/TP/FACEIT都有,没什么特别的。只是vanguard会不断的打开系统中所有进程进行谜の操作(可能是扫描内存)所以会搞得装了vanguard的电脑很卡。
11.vanguard是否会截图?我的猜测是不会,首先这个用户量下截图是不可能人工看的,训练AI的话一定会有很多误报,而且人家光做自瞄你啥也截不到。像大厂TP/BE/EAC那些都是没有截图的,BE保护的游戏里面有一个PUBG会定时截图,BE只是检测是否有反截图。
12.用虚拟机能玩吗?能不能把挂放在虚拟机外面,游戏跑在虚拟机里面来防止被抓?答案是kvm+gpu直通可以,其他虚拟机都不行,像vmware vbox那种拉跨的虚拟机,vanguard有一万种方法来检测你,一旦发现你是虚拟机就不让你玩了。kvm可以的前提是修改过固件,让SMBIOS表里面查不出kvm是虚拟机,总之带哥要搞的话会相当麻烦。而且kvm的cpu内存性能损失也不小,需要比较强劲的硬件。优点是一旦搞成了就无视封机器码。
13.走PCI-E通道DMA读写内存的硬件作弊可以吗?答案是可以但是说不定会封号,ESEA和faceit两三年前就在抓这块了,拳头不至于这都整不明白。而且有人分析vanguard驱动时发现了疑似DMA硬件的IO指令。
14.鼠标宏可以吗?软件宏参考第9条,硬件宏的话它本身就是正常的USB输入,你叫神仙来也检测不了,除非是那种太离谱的帕金森抖动倒是可能封号,很平滑的那咋宏就真没办法了。
15.机器码可以过吗?答案是可以过,前提是你得把所有可能被记录特征的硬件全换了,包括但不限于:显示器、显卡、每一块硬盘、每一块网卡、局域网环境下的每一个其他硬件的MAC地址(比如手机、路由器),顺便记得把操作系统也彻底重装
有人说鼠标键盘也有序列号,这种只是极少数,你拿100个不同品牌的键盘来查一下说不定只有一两个有序列号,大多数都是只有一个厂商名字,序列号是空。
总结:虽然这套策略看上去很美好,但是在国内这种流氓软件横行的环境下根本无法普及。如果瓦罗兰特要开国服是肯定会上TP,不会用它那套vanguard的。兼容性这块儿你都不整明白你还开什么国服?
![[滑稽]](/static/emoticons/u6ed1u7a3d.png)
已经见过瓦罗兰的挂了,那抖枪术跟CSGO的抖枪术一样一样的
![[捂嘴笑]](/static/emoticons/u6342u5634u7b11.png)
![[大拇指]](/static/emoticons/u5927u62c7u6307.png)
![[汗]](/static/emoticons/u6c57.png)
而且开机变久了10倍![[笑眼]](/static/emoticons/u7b11u773c.png)
![[吐舌]](/static/emoticons/u5410u820c.png)
缝合怪yyds
![[真棒]](/static/emoticons/u771fu68d2.png)