【小白普及向】游戏修改器PJ应该怎么防作恶

猪头无双

嗯 之前大家在讨论上H网会不会中毒这件事上很是积极 怪我，怪我。把大家的真面目都暴露了。今天我们继续下一个话题——游戏修改/破解/作弊应该怎么防作恶？

应该说我们大多数人都是习惯玩游戏的。而各种作弊、修改、破解是我们最常接触的。但是往往会有同学莫（no）名（zuo）其（no）妙（die）的中招，那么我们简单的分析一下，到底你们都是怎么中的招，又应该注意点什么。

我习惯玩单机游戏， 网游玩的不多，几乎还停留在刚有网吧的那几年的《传奇》、《传世》、《跑跑卡丁车》的年代，但是道理应该是融会贯通的，所以借着单机游戏的路子接着捎带介绍下网游的修改器等等的注意事项

因为这里需要涉及到防火墙/HIPS的基本知识，而我真心玩不转，只会几条粗浅的规则，至今也就是停留在对默认规则的小修小补上。所以我尽可能把我的理解拿出来分享，说的如果有错误，欢迎大家提出。

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

一、修改器/作弊/破解补丁的简单区分：专业的具体细节各位还是百度的好，我只说说我经历的部分。

个人以为，修改器和作弊器基本差不多，都是通过修改游戏的相关注册表项，或者是修改/作弊器自身注入到游戏原程序中，放开修改权限，最终实现目的。



而破解补丁要比修改器/作弊器种类更加宽泛一些，除了相关游戏进程的破解，还涉及到语言补丁，加速补丁，优化补丁等等。

二、修改器/作弊/破解补丁的来源：相对而言，我们基本上熟悉的游戏补丁或破解主要来自于游民星空，3DM，游侠网这些大型知名游戏网站。

这些大型站点信誉很好，轻易不会发恶意带毒的修改/破解等来牟利，当然，这也得看作者的良心了。而那些小网站的分享，就不见得那么靠谱了。

那么，这也就是我强调的第一点：注意下载来源。

三、为什么修改器/作弊/破解补丁讨厌360等安全软件？ 比如我的火炬之光修改器就提示，开着360没法运行，除非手动将修改器加白，或关闭360防护。很遗憾，我手中的红蜻蜓罢工了，截图是一片黑暗。就不上图了。相信各位同学都见过。那么，从这里开始，就有人会中招了。

先回顾一下：

个人以为，修改器和作弊器基本差不多，都是通过修改游戏的相关注册表项，或者是修改/作弊器自身注入到游戏原程序中，放开修改权限，最终实现目的。

所以，这里要注意，一般而言，无论是杀软还是HIPS，都会对注册表进行防护，防止发生随意篡改注册表的行为。一旦注册表被篡改，轻则会出现顽固文件随机启动占用资源等等流氓行为。重则蓝屏崩溃也有可能。

我们一般的修改注册表的行为都是修改注册表中的某个键值，比如0改1，2改3等等。别看这个数字很小，但是造成的后果可能就会不同。

比如说，在咖啡没有排除功能的年代，咖啡区的杀软要设置排除很麻烦的。必须右键获得管理员权限，才能操作成功，否则必遭杀软拦截而失败。同样道理，游戏也是如此。那么，一旦某个软件获得管理员权限，那电脑在该软件面前就像脱光了的小媳妇，定力好的，默念“空即是Se, Se即是空”，扭过头去该干嘛干嘛。定力不好的，或者说本身动机不良的，动手动脚条戏还是轻的，估计直接趁人不备，狼性大发的做出某些不可描述也是很有可能的。

所以杀软就像一个保镖，只要有人动手，必须拍开伸向小媳妇的咸猪手。而之所以破解软件加白，或者关闭防护，就像某个流氓趁保镖打瞌睡的时候，或者直接掏钱让保镖转过头去，之后再上下其手、坦诚相见，深入交流，最后达成共识，事后一提裤子扬长而去，哭的还是系统这个小媳妇。连带的，保镖也没活干了。

那么，我们一般可能不会有人发现这些软件的行为，那么怎么办呢？请找一个带有HIPS或者类似的控制行为的杀软：比如火绒、卡巴，ESS、毛豆、SSF一类的。

我们可以看看HIPS的威力

http://bbs.kafan.cn/thread-2029572-1-1.html 5L  左手兄用的是MD，一个HIPS软件

2016-2-21 19:51:06    创建新进程 风险级别:未知    阻止
进程: c:\documents and settings\administrator\桌面\gijoldjglaifg.exe
目标: c:\windows\system32\cmd.exe
命令行: C:\WINDOWS\system32\cmd.exe /C copy /b "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nse11F.tmp\" + "C:\WINDOWS\Fonts\SIMSUN.TTC" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nse11F.tmp\"
规则: [应用程序组]→终止_降权组件

2016-2-21 19:51:07    修改注册表值 风险级别:未知    阻止
进程: c:\documents and settings\administrator\桌面\gijoldjglaifg.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\c:\program files\ksafe\AppData\proc_startup_perf.dat  \??\C:\PROGRAM FILES\TENCENT\TM2013\BIN\msimg32.dll~  \??\C:\PROGRAM FILES\TENCENT\TM2013\BIN\msimg32.dll~  \??\C:\PROGRAM FILES\TENCENT\TM2013\BIN\msimg32.dll~  \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\
规则: [注册表组]拦截_病毒生成物 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager; PendingFileRenameOperations

再比如说：http://bbs.kafan.cn/thread-1547270-1-1.html  的6L

用HIPS监控的话，很简单，前面的几步就是对cmd.exe 修改内存，然后在cmd.exe中创建远程线程，或者说插入病毒dll工作，这时候cmd就被病毒控制了。然后调用cmd删除自身文件，这时候看似没有病毒了，其实cmd.exe做的就是病毒的行为，然后加载驱动或者添加服务进行提权、添加自启动项什么的。

这里要注意，一般的破解/作弊/修改等，提示加入白名单就算可以了，因为加入白名单就意味着可以猥琐欲为了 但是，如果要说提示你关闭防护，那就改注意了。 一般这么做的，都有点作坏事的嫌疑。

比如以下几个帖子：

http://bbs.kafan.cn/thread-525968-1-1.html

http://bbs.kafan.cn/thread-1282947-1-1.html

http://bbs.kafan.cn/thread-1620695-1-1.html

http://bbs.kafan.cn/thread-531232-1-1.html

http://bbs.kafan.cn/thread-925771-1-1.html

不是说他们都是修改器造成的，而是说修改器的可能行为会是什么

再有，某些作弊器/修改器会主动外联互联网[:01:] 这就相当于自己一个占有了小媳妇还不行，独乐乐不如众乐乐，单人独斗的XXOO不如群P来的刺激。于是它开始招呼狐朋狗友。但是因为它已经是白名单里的一员了，自然保镖会对他视若无睹。这下， 你的电脑里会莫名多出一堆东西，什么2345配淘宝，补肾强身小广告，美女陪聊陪打泡，就是挖坑让你跳。（我真佩服自己的文采 ）

那么这些东西要靠谁去识别呢？——防火墙的功能就体现出来了。

比如http://bbs.kafan.cn/thread-2061514-1-1.html   @fireherman  这篇帖子值得大家参考。一个绿色软件尚且有诸多行为，何况修改器呢。所以，如果看到修改器有外联迹象，直接用防火墙阻止外联行为即可。火绒或者360的网络防护也能办到。

我们来举个栗子：http://bbs.kafan.cn/thread-1603052-1-1.html  7L

国产微点主防啊 哀其不幸，怒其不争。

过微点扫描。。

双击。。。防火墙拦截。。。。拒绝后。。。仍坚持不懈的要求外联。。

放行后。。发现后台有数据流量变化。。。。。。。期间下载了衍生物1.sss。。。此衍生物再次要求外联。。放行后。。。弹出情侣加速的主界面。。。。。。提示不是新版。。要求再下载新版。。。测试到此解锁。。

PS。。。此样本后台有大量的上传数据的行为。。。不管是不是安全的。。建议不要使用。。。

所以说，修改器/作弊/破解一类，一定注意行为，这是至关紧要的，小心赔了夫人又折兵。


四、网游就能相对安全？ 也不。我们样本区是个好地方，能发现很多样本的类型与变化趋势，大家可以默默地去围观，但是灌水的不要，双击的，只要你想好后果，欢迎你去主动作死。

我们能发现诸多关于“CF冲钻”、“CF刷枪”之流的玩意，估计其它网游也是如此，之后点击的结果就是——中招。

比如说：

http://bbs.kafan.cn/thread-1786001-1-1.html

http://bbs.kafan.cn/thread-1853719-1-1.html

http://bbs.kafan.cn/thread-2055446-1-1.html

http://bbs.kafan.cn/thread-1781239-1-1.html

http://bbs.kafan.cn/thread-1620960-1-1.html

http://bbs.kafan.cn/thread-1829978-1-1.html

http://bbs.kafan.cn/thread-2052853-1-1.html

http://bbs.kafan.cn/thread-1707757-1-1.html

诸如此类等等， 不胜枚举。

那么，我们的技术分析就交给一篇金山的宣传稿吧。其实360的也有， 大家翻翻官网的所谓新闻自然能看到

http://bbs.kafan.cn/thread-1693676-1-1.html

金山毒霸安全专家表示，火眼的分析是准确的，这是一个CF虚假刷枪工具，它的目的是诱导玩家先去充值，再去刷枪。如果玩家相信了它，那很抱歉，亲，对不起，它是骗人的，根本不具有刷枪的功能，它实质只是一个钓鱼程序，请广大玩家相信金山毒霸的检测结果哟。

       亲，对了，只要您关闭杀毒软件，运行这个所谓的刷枪工具，刚好您的qq正在登陆状态，额，它就会往QQ群共享自动上传“最新唰枪教程XXX.txt”，谜底揭开了，原来QQ群共享最新唰枪教程XXX.txt 阴魂不散的原因是这个~

（遥想当年李铁军在卡饭满嘴吐沫星子大战MJ、白羊座的年代，那时我还只是个单纯的大学生 ）

对于这种东西， 我们主要靠杀软的本地扫描/下载防护，如果实在不放心，上传火眼、哈勃，CIMA等等你能想到的在线分析网址，看看行为便知。

+++++++++++++++++++++++++++++++++++++++++

结语：我们一定要注意以下几点：

1。 想找破解，去大型网址：游民星空，3DM，游侠之类的

2. 下载之后记得扫描，如果提示有病毒，上传在线分析，看看行为

3. 如果实在不放心，沙盘伺候

以上。

ELOHIM

我昨天也想发一个关于破解的贴子。
弄了半天后来删掉了。
想说的太多。

借你楼层，占个地方吧。

MMPC典型的破解行为名称是：HackTool: Win32/Keygen  ⬇⬇⬇

https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=HackTool:Win32/Keygen

这其中有多少被报这种恶意行为的破解程序利用了大量的 Blacole exploit。

三言两语说不清，微软总结了 146 页的 PDF文档。

文中甚至提到了 MP3 AVI等格式的恶意行为。   

如果黑客不了解这些防御方法就最好了，
但是事实真的是这样吗？

最好的方法就是离破解软件远远的……
因为，黑客的动机永远都是无声的。


有兴趣了解一下吧。  ⬇⬇⬇

http://download.microsoft.com/download/C/1/F/C1F6A2B2-F45F-45F7-B788-32D2CCA48D29/Microsoft_Security_Intelligence_Report_Volume_13_English.pdf

摘一小段：

Malware authors go to great lengths to distribute their wares, and they invest significant resources into finding victims and avoiding detection by antimalware products. Attackers experiment with different methods and mechanisms for distributing malware, ranging from exploits to pure social-engineering–based approaches. Recently, the Microsoft Malware Protection Center (MMPC) has observed a growing trend of malware infection associated with unsecure supply chains—the websites, protocols, and other channels by which software and media files are informally distributed, both legally and illegally. Unsecure distribution mechanisms range from underground sites where pirated software and media are openly exchanged, to legitimate websites that make shareware or free music files available for public download. In some cases, malware has even been discovered preinstalled on computers sold at retail.1 Any mechanism by which untrusted parties can distribute files to a wider audience without sufficient safeguards in place is a potential vehicle for malware dissemination.

愤怒的瓦解

能用MOD用MOD，

不能MOD完美存档（完美存档后重新玩一遍，装备全，收集全，物品使用无限制）

最后才考虑修改器

MENGXIUYUAN

不玩游戏（是不是很奇葩）顺便普及一下如何防勒索

猪头无双

欧阳小黑黑 发表于 2016-11-9 12:23
能用MOD用MOD，

不能MOD完美存档（完美存档后重新玩一遍，装备全，收集全，物品使用无限制）

其实我倒是不太想用mod,完美存档倒是喜欢

60an

ali2B剽窃网并不靠谱，它家的汉化、破解补丁、修改器会偷偷修改hosts文件、强行安装自家的剽窃网日历，现在不知道是不是还这样，反正以前一直都是。

aice7837

以前修改器用金山游侠，fpe2000,现在都没人用了。现在下的破解游戏基本都是放沙盘里运行了，简单方便，而且有些游戏虽然装在d盘或者e盘，但是存档在c盘，重装系统一不小心就丢存档，用沙盘后就不用担心了。

zjkzjy

游戏修改器我只用CE。安心放心。

HEMM

好高森，你这一长串一二三看的我一愣一愣的，到底是学富五车之人。
我比较土，修改除了用专门针对某一游戏的修改器外，还用了金山游侠，以及EC。游戏太难了，玩起来桑♥.......
布吉岛那个有毒，反正专门针对某一游戏的.......特别的爱弹窗推广，以及各种不干净，不过我照用，游戏太难了......

fireherman

居然@我了，不来支持一下可不行。

但不得不说，楼主的文笔、乃至思想极度猥琐……妹子免观。

还有最后一点：不是应该虚拟机侍候吗？ 特别是勒索类（病毒木马），一旦漏沙，后果会很严重。