某鵝手遊保護簡略

寫在開始

相比于某密的，某鵝的手遊保護明顯上了一個層級，但是筆者在分析的過程中，發現了還是有較多地方的改進。

注意，本文是基于17年初的版本進行分析。

功能測試

功能強大了很多，包含了ptrace所有線程、三程序保護、字元串加密、檔案校驗、DLL動态解密、mono動态解密、反修改器、反加速器、反暫停等等…可以看出，功能挺實用的…不過，功能覆寫挺全面，但在涉及上有很多點有邏輯問題，以及有些保護功能反而能加快我們的分析。

詳細分析（其實不太詳細）

三程序保護、反暫停、反修改器、ptrace：

實作的詳細可以參考我之前的一篇文章

http://blog.csdn.net/u011247544/article/details/78248427

說明兩點：

1、為什麼會用三程序而不是雙程序？

目前分析使用三程序的原因可能和GameGuardian修改器有關，該修改器會向ptrace的父程序注入子產品解除ptrace，達到可以附加的目的。

2、繞過的思路

實作是通過釋放一個可執行檔案運作實作的，可以考慮讓目标程序無法建立該檔案（目前網上其實講解這部分的手段比較多）。

dll動态解密、mono動态解密：

基于HOOK實作，然後加了一點防dump的手段。

檔案校驗：

這是一個比較亮眼的功能，原理不複雜，就貼下主要的流程

分析後的思考

其實全局看下來，該保護可以抵禦至少百分之八九十的破解者，但對于有一定基礎，或者從事相關工作的人群來說，保護的等級還遠遠不夠。缺乏了對破解者思路的認知，隻考慮保護了表面的内容，而沒有想到保護之後破解者會從哪一面着手進行攻擊。攻與防沒有絕對，都是相對，應從耦合度、複雜度、随機化、加密強度、隐蔽性等進行多方面考慮。