灰鸽子远程控制软件

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 14496|回复: 0

【CSGO】AliveNK外挂分析 配图

[复制链接]
发表于 2017-9-6 12:16:27 | 显示全部楼层 |阅读模式
《反恐精英:全球攻势》(简称:CS:GO)作为《反恐精英》系列游戏的第四款作品,在FPS游戏玩家中一直有着比较高的知名度,目前是世界上玩家数最多的FPS游戏之一,2017年4月18日《CS:GO》国服开启先锋首测,尽管此次CS:GO国服进入三套安全方案,但仍然在首测2周内便出现了功能完善的外挂,其中Alive NK外挂功能更是全面。此次主要Alive NKCS:GO外挂进行分析。

http://gslab.qq.com/data/attachment/portal/201706/27/105925kmdjh2d2sasvzamh.png

外挂静态分析:

目录特征:
外挂的目录结构很简单,只有一个执行文件Alive NK V617[可选版].exe。外挂功能启动,还会注入到游戏内的result.dll,c盘根目录下会生成配置信息,同时游戏目录下生成对应配置文件具体如下, 灰鸽子, 监控软件

名称
作用
所在路径
Alive NK V617[可选版].exe
外挂登录界面
存放目录
result.dll
外挂注入、逻辑实现模块
%temp%,注入后会被删掉
kss.ini
外挂连接情况,日志
c:\\
test.txt
外挂帐号
c:\\
test1.txt
外挂剩余时间
c:\\
config.xml
外挂配置文件
..\\CSGO\steamapps\common\Counter-Strike Global Offensive\

文件特征外挂主界面Alive NKVMP加壳IDA拖入代码阅读性差


http://gslab.qq.com/data/attachment/portal/201706/27/105926xhsx39q9iqzhxb89.png

界面未对调试检测和对抗,调试器可正常附加进行分析外挂注入模块result.dll/TemporaryFile)注入后被删除


http://gslab.qq.com/data/attachment/portal/201706/27/105926t53v5qby9efu3akz.png

通过对CreateFile和WriteFile hook拦截,获取完整dll,同样外挂模块VMPIDA可读性很差


http://gslab.qq.com/data/attachment/portal/201706/27/105926x2m5cz6cizg55m77.png
http://gslab.qq.com/data/attachment/portal/201706/27/105926sytssesdjttt8nyg.png

外挂配置文件config.xml未做加密,里面包含着外挂功能配置选项


http://gslab.qq.com/data/attachment/portal/201706/27/105926ykhx0zll0553mxdh.png

外挂动态分析行为分析[size=21.3333px], 灰鸽子, 监控软件


外挂有两种方式注入,分析第一种注入,直接hook进程遍历和常见的注入api,记录如下:


http://gslab.qq.com/data/attachment/portal/201706/27/105927t1zluc6zlwk9znnn.png

同时外挂在遍历目标进程的同时,在%temp%目录下释放自身将要注入的dl’


lhttp://gslab.qq.com/data/attachment/portal/201706/27/105927ax8e5ler78ir9jie.png

最终外挂通过创建远程线程,将result.dll注入到目标进程中, 灰鸽子, 监控软件


http://gslab.qq.com/data/attachment/portal/201706/27/105927at8angaqreamu838.png

选取另外一种方式注入,发现获得了同样的api调用序列,同时监控到无消息钩子创建,无dll劫持,无LSP和注册表的相关修改,外挂的第二种注入方式本质上仍然是远程线程注入,与第一种并没有什么不同外挂注入游戏后,调试器附加,无法找到外挂模块,结合pchunter模块加载的地址,可以找到外挂的内存分布暴力搜索内存中的相关字符串,可以获得相关字符串信息,字符串显示UI使用,分别对应外挂的中文版和英文版,远程控制


http://gslab.qq.com/data/attachment/portal/201706/27/105927w3n4p6elapxtovpu.png

同时发现,模块加载后,会先跨模块调用游戏内各个模块的导出函数CreateInterface获取各个游戏模块内的接口


http://gslab.qq.com/data/attachment/portal/201706/27/105927i1dwa2c3c4wq6z26.png

外挂通过获取到的接口,进一步计算得出其他函数地址(下图为外挂获取的游戏内UI显示的部分接口


http://gslab.qq.com/data/attachment/portal/201706/27/105927iuky3inz3993kkpl.png


执行时机:


外挂注入后会在游戏的右上角绘制自己的窗口,猜测外挂调用dx/gui相关绘制函数,对常见api下断点进行回溯后,并发现相关外挂调用信息分析过程中注意到当外挂保存配置向游戏界面上写入保存配置成功,结合对应明文字符,定位相关逻辑:
http://gslab.qq.com/data/attachment/portal/201706/27/105928wkg7bog9no65kgdr.png

进一步跟进,外挂修改了虚表[[[vguimatsurface.55BEF580]]+0xA4],替换自己的外挂模块地址获得执行实际


http://gslab.qq.com/data/attachment/portal/201706/27/105928c38ux5guk7rnf3dt.png

虚表原本指向vgui2.dll+0x180A0,调用来自client.dll. engine.dllvguimatsurface.dll多处,负责游戏UI相关功能外挂修改虚表指向自己模块,用来获取自己的执行时机
外挂功能分析透视外挂给出透视的选项-ESP功能,结合激活开关,通过CE搜索开关标志位,再通过对标志位下访问断点,回溯后定位到ESP功能的入口函数


http://gslab.qq.com/data/attachment/portal/201706/27/105928b9vosuc3ptvtv53f.png

跟进分析,通过分析流程跳转,确定外挂temporaryfile.3061bb80透视相关的功能函数(仅修改跳转,透视方框消失,其他功能正常)


http://gslab.qq.com/data/attachment/portal/201706/27/105928gbybiz1rb9pyl94v.pnghttp://gslab.qq.com/data/attachment/portal/201706/27/105928vn77dzofz8g377rn.png

进一步分析temporaryfile.3061bb80实现逻辑,外挂在函数内engine.dll获得相关数据结构


http://gslab.qq.com/data/attachment/portal/201706/27/105929vbvn0dr2ein81207.png

解析数据结构获取坐标相关偏移最终将获取的坐标保存到自己的模块


http://gslab.qq.com/data/attachment/portal/201706/27/105929axarrr0jlarrjbcl.png

最终调用engine-CEngineVGui:aint进行绘制第三人称游戏外挂提供了第三人称视角,可以结合陀螺外挂使用,危害程度较大


http://gslab.qq.com/data/attachment/portal/201706/27/105929h9c3rr68rkkj899q.png

通过开通和关闭第三人称,结合CE搜索关键标志位确定第三人称在游戏中的开关位置


http://gslab.qq.com/data/attachment/portal/201706/27/105929z04c9bf4h4ak4tkd.png

外挂修改游戏内的第三人称的开关,打开了第三人称视角 陀螺仪CS:GO陀螺外挂影响较为恶劣,人物可以快速旋转抖动,外挂中的UI中给出了陀螺外挂偏移量数据,这个其实是人物朝向和开枪方向的偏移。结合CE搜索偏移量,定位到外挂模块存取偏移量的内存地址


http://gslab.qq.com/data/attachment/portal/201706/27/105929wsytdik59eq2tzdh.png

地址下访问断点,结合陀螺仪的开启时机,最终确定result.dll+0x5D1D为关键地址


http://gslab.qq.com/data/attachment/portal/201706/27/105930k09b11aptu42c3af.png

分析上述访问偏移量的地址全部存在于外挂模块,跟进分析其他几个地址,未发现游戏直接或者间接访问这个偏移量,所以,外挂很可能将偏移量进行了计算转换结合result.dll+5D1D回溯分析,最终确定偏移量的计算逻辑:


http://gslab.qq.com/data/attachment/portal/201706/27/105930plzzhqtiba0lomk0.png

游戏中很有可能使用的是计算后的这个偏移量,结合CE对偏转后的浮点数进行搜索最终确定关键地址


http://gslab.qq.com/data/attachment/portal/201706/27/105930fb0zdz9vg9vdvqzv.png

此时开启陀螺仪的抖动功能,发现视角及计算后的方向不停的被修改猜测游戏外挂很可能的在不的改写数据


http://gslab.qq.com/data/attachment/portal/201706/27/105930as4usk5g9unsnv5k.png

外挂中的计算后的浮点数据下写入断点,用来获得外挂在修改后的执行逻辑


http://gslab.qq.com/data/attachment/portal/201706/27/105930mzhsa64xksiv5bhc.png

堆栈回溯分析,最终确定陀螺主要实现逻辑外挂首先调用eingine中函数判断游戏当前状态,如果在大厅则对应陀螺功能也不开启


http://gslab.qq.com/data/attachment/portal/201706/27/105931srhuhi56s9osm56m.png

最后,外挂会获得当前的陀螺仪开启的方式和设置的设置偏移量,最终将计算好的偏移量,写入内存


http://gslab.qq.com/data/attachment/portal/201706/27/105931ig3fg3y0fyyyy17k.png

感知时机上,外挂不再通过vguimatsurface.dll,将之前分析透视相关的虚表恢复,也不会影响到陀螺的功能,通过分析获得,陀螺hookengine负责帧绘制相关虚表,获得更改人物状态的执行时机(原虚表指向client+0x22C340)


http://gslab.qq.com/data/attachment/portal/201706/27/105931m69svjj9rwj6txls.png

然后更改了hook了获取人物视角的虚表client.dll+0x2BA636处(原本应该call client+0x23c4a0),进行对当前视角进行修改


http://gslab.qq.com/data/attachment/portal/201706/27/105931ww858twpwwia8xtw.png

1. CS:GO游戏通用安全保护强度不高,游戏分析门槛较低,导致了外挂制作成本较低
2. CS:GO-VAC检测强度不高,导致了外挂存活周期长。
3. CS:GO前端实时对抗方案,处罚作弊具有延后性。
4. CS:GO人物坐标全局下发,导致游戏会长久存在FPS通用透视自瞄外挂风险
评帖赚银币(0) 收起
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|灰鸽子远程控制软件|灰鸽子远程控制软件 ( 鲁ICP备14000061号-4 )

GMT+8, 2024-11-23 10:57 , Processed in 0.140583 second(s), 23 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表