Garena的防作弊機制 (anti-cheat mechanism)

只是機制研究說明,不會告訴你如何破解

傳統的方式
runing process scan (檢查你是不是開著作弊程式)

 prcoess memory check (檢查記憶體中遊戲有沒有被動過手腳)

 細節大概有人寫吧,不詳提


還原競時通和遊戲的檔案,確保你不是執行修改過的檔案 (順便擋LOL改skin?)



8/25 Garena LOL 7.17更新後,我發現OBS game capture不能使用了 (Riot版本還是能用)

做了一些研究
 
我注意到 kernel mode driver

C:\Windows\System32\drivers\gaprotect.sys

這個東西無法停掉,停掉砍掉一開LOL也會回去

防毒程式好像也不能把他加進黑名單... 開檔案(按瀏覽那個,叫啥名字我忘了)找不到gaprotect.sys

就算你真的擋掉,我猜Garena也會炸給你看,不給你玩


觀察到有以下行為 (可能不是全部)

1) 隱藏process information
看不到process的argument (無法記錄後令外起動避開anti-cheat?)
可能是改system structure或是用hook system api達成 (沒研究)

2) hook system api
Garena的做法是api return都是成功,但實際上沒幫你做事
所以依靠return value來抓哪邊被擋無效
一般人大概會被騙,以為是自己哪裡做錯了


程式權限層級和行為
簡單說就是一個類似防毒軟體的東西,但只防護他想防的東西


Garena的GTV長得和OBS好像阿
OBS get-graphics-offsets32.exe, inject-helper32.exe, graphics-hook32.dll
GTV  get-graphics-offsets.exe. inject-helper.exe, graphics-hook.dll
不只檔名長的和OBS很像,連用法都一樣,真是非常有趣
自訂錯誤return value也一樣 (system error code本來就會一樣了)

OBS的用法是這樣: inject-helper32.exe dll mode pid/tid
mode 1=inject to thread, 0 inject to process
ex: inject-helper32.exe graphics-hook32.dll 1 lol_thread_id
同樣參數給GTV也通用喔

個人覺得Garena工程師非常有可能是在參考OBS後寫的
OBS的license是 GNU GPL v2
至於有沒有抄襲/盜用,我就不知道了,認定方式也沒研究
有興趣的人可以去找比較程式執行檔的工具,看相似性

如果任何一個檔改檔名會inject失敗 (copy OBS檔案覆蓋也一樣)
猜測應該是有建立whitelist,以某種條件過濾檔案
可能是filename, checksum?

OBS get-graphics-offsets32.exe
output to  %appdata%\Roaming\obs-studio\plugin_config\win-capture\32.ini
內容
[d3d8]
present=0x662e0
[d3d9]
present=0x4a064
present_ex=0xbdfc4
present_swap=0x781f
d3d9_clsoff=0x29e8
is_d3d9ex_clsoff=0x4b80
[dxgi]
present=0x21bd1
present1=0x21d0d
resize=0x255ed

GTV  get-graphics-offsets.exe
output to stdout
[d3d9]
present=0x4a064
present_ex=0xbdfc4
present_swap=0x781f
d3d9_clsoff=0x29e8
is_d3d9ex_clsoff=0x4b80
[dxgi]
present=0x21bd1
resize=0x255ed
[dinput]
getdevicedata=0x6ba7
getdevicestate=0x69dd

沒有d3d8大概是用不到, dxgi沒有present1是因為OBS後來才加的
dinput大概是聊聊之類的要用熱鍵吧

結論就是
除非Garena的防護有漏洞,或是有可攻擊的地方
只能去RE,直接不讓防護機制啟動
我只是想用OBS而已,沒興趣這麼花功夫....

留言

張貼留言

這個網誌中的熱門文章

OBS 抓不到畫面, 視窗, 遊戲擷取, 黑或白畫面, 當掉 ,卡住, black/white screen, window game capture, crash, freeze

0. 遊戲初始化還未完成 這時讓OBS去game capture擷取會造成卡住或當掉 (OBS嘗試inject去hook會失敗) OBS先切到其他scene,等遊戲啟動完才切回去 或遊戲啟動完再開OBS 1. OBS設定錯誤 全螢幕和視窗的定義,不是遊戲畫面多大 (很多人以為畫面塞滿就是全螢幕) 可以切換game capture的mode試看看 全螢幕的遊戲,切出來看OBS預覽似乎一定是黑畫面 (可用手機或別台電腦確認實況畫面) 不行就改回window capture/display capture試試吧 Windows.Graphics.Capture (新視窗擷取) Win10 1903+限定,可抓到開啟硬體加速的firefox/chrome或cef,UWP程式 一般而言開啟硬體加速的程式效能會比沒開高,畫面比較順,延遲比較低 https://github.com/obsproject/obs-studio/pull/2208 調整Allow transparency (每個遊戲不一定) 在東方th14打開會變成黑畫面,只有按Esc時有畫面 在HackNet要打開,否則抓不到畫面 如果你有把多張顯卡連接,SLI/Crossfire Capture mode要打開 (效能會降低,沒用別開) 多顯卡的系統 (通常是NB/laptop),OBS和遊戲使用的顯卡不同,要改一樣 2. 權限不合,遊戲用管理者跑,OBS也必需用 ex: Garena LOL (Garena沒有好的理由強迫全部要用admin跑,riot官方就不用) 右鍵選擇以系統管理員身分執行 覺得每次都要跳提示很煩,可以參考 OBS跳過UAC提示的方法 https://craftwarblog.blogspot.com/2017/10/obs-run-obs-as-administrators-without.html 3. 遊戲公司擋掉或其他因素 a) 被擋掉 ex: 客服超濫的Garena,關於這個問題4次填單客服都是文不對題或罐頭回應及敷衍 第2次我就指出真正問題點,客服還是一樣,沒有溝通意願 過了一個月也沒解決,所我不再完他們遊戲了 在玩G社遊戲時沒有一次填單問題被解決/回答過,我哪有這麼M繼續玩他們遊戲 Destiny2有擋 (官方...
閱讀完整內容

優化實況(一) OBS設定 streaming settings

圖片
本文適用我做的開發版本 (可能含官方正式版還未加入的新功能) 非新手教學,解釋OBS機制/設定,讓使用者選擇適合的設定 (減少資源消耗...等) 目標 記錄 所有能優化的部分, 新手閱讀可能會感到挫折, 看懂多少用多少吧 偏筆記的寫法 資料來源: OBS開發者間的交談內容, OBS程式碼及其他相關來源 要用哪一個OBS和系統? 實況配備需求 調整Win10 畫面相關的優化 (scene, source..etc) 編碼器encoder 其他 要用哪一個OBS和系統? 不維護的OBS Classic不要用, 聽說有安全性問題,攻擊者可在你電腦隨意執行程式 換OBS Studio比較好 (畫質,效能, 功能上都贏),以下都直接稱作OBS,不打全名 新版本有匯入功能,可以從舊的Classic和其他實況軟體轉換過來 Streamlabs OBS(SLOBS),OBS的衍生版之一,功能較多設定較容易,消耗較多資源 有人問我閒置時(未實況)資源消耗過多,我就推薦去試用OBS,應該是個案,沒用不熟 64bit目錄內有64bit版本,能跑就用,設定和32bit通用 (效能較好,官方版標題會寫64bit,我的版本只提供64bit就不寫了) 官方OBS v22後有把32/64bit版本分離,缺空間可以移除重裝 (節省接近一半) Win7無法發揮OBS全部功能,效能較差 (微軟2020/1/14停止支援Win7,建議升級) OBS在Windows上效能和功能最好 (開發者人數Windows > Linux> Mac) 我改的OBS (效能/功能強化,可直接轉換或獨立安裝) https://craftwarblog.blogspot.com/2017/09/obs-studioby-craftwar.html 實況配備需求 ...
閱讀完整內容

OBS plugin obs-text 顯示播放中音樂, display playing music

圖片
English | 正體中文 只適用Microsoft Windows 透過修改的OBS內建plugin obs-text來達成,替換掉我改過的檔案就能用了 (OBS版本差異過大時,只換檔案會無法使用) 或是用我做的OBS,整個OBS(含plugin)都換我改的 (公開程式碼,無添加惡意程式碼) https://craftwarblog.blogspot.com/2017/09/obs-studioby-craftwar.html 使用方法 obs-text設定中選歌名模式,其他我新增的功能請參考相關文章 支援的播放器  1.瀏覽器上的 驗證可用: Firefox, Chrome, Edge(新版用Chromium做的,logo像Firefox的) 播歌的網頁必須是現在分頁 (開一個獨立視窗只開一個分頁也可以) 除了youtube以外,都需要再安裝對應的 使用者腳本(userscript)才能抓到 點進對應的usercript後,會打開github,下面有兩個站選一個你喜歡的去裝 不會用userscript的,先看 https://craftwarblog.blogspot.com/2017/11/userscript-install.html YouTube YouTube Music https://github.com/craftwar/userscript/tree/master/Youtube-Music-song-name-helper Spotify https://github.com/craftwar/userscript/tree/master/Spotify-song-name-helper ニコニコ動画 (Niconico) https://github.com/craftwar/userscript/tree/master/Niconico-son...
閱讀完整內容