建议TS插件绑定模式，有分解模式

bocai7821

一年前建议建议TS插件绑定模式，有分解模式，
等了一年多了，还没有增加啊。
为什么要用分解模式
本来大漠VIP都弱爆了，不过配合分解模式各种组合勉强凑合的着用。
可是天使和大漠功能差不多，可是少了这个分解模式
就是弱上加弱啊
就像有的游戏DX键鼠有的函数不能加载，可是没有分解模式必须加载啊。
看完以下就知道各种游戏保护就知道
就常写脚本就知道的确很有效果，所以商业作者脚本都是用分解模式
还有增加插件保护函数时，直接可以在公共函数里增加就可以了，省事方便


=====================APEX保护简介===========================

apex是一款主要针对ring3的保护措施，广泛应用于国内的游戏. 比如东方故事，诺亚传说，桃花源记等之类为代表作品。

游戏是否有APEX保护

如何检测是否是apex的保护，主要是看驱动模块里是否有路径在avital的驱动模块。工具可以用任意rookit工具，比如XueTr.。需要注意的是，apex的保护一般都是在登录进入游戏之后才会加载驱动和ring3保护.

下面的图是XueTr的驱动模块的截图.

file:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtml1/02/clip_image002.jpg

前台检测手段，以及规避措施

用超级模式就可以过检测。dm.SetSimMode1. 唯一要注意的就是脚本进程可能会被检测。这个可以参考后台检测手段的a1

后台检测手段，以及规避措施

a) 这款保护主流的检测方式是特征码检测。 (自身游戏进程和非游戏进程)

1. 保护脚本进程不被检测，方法很多，可以用我的phide盾，也可以用外面的进程隐藏工具，都可以轻松过掉此类检测。那么如何知道检测了脚本进程呢？ 很简单，不启动脚本，只打开脚本程序，放在那里看游戏是否有异常(掉线,封号等).就知道了.

2. 保护游戏进程，主要是检测插件注入模块的特征.

那么防止检测特征，有以下方法, 在绑定参数里增加dx.public.defense.memory.self. 或者使用内部的驱动后台版本。 那么如何知道检测了注入模块呢？ 很简单，打开VIP工具,图色键鼠全部选择normal，公共选择dx.public.memory,模式用101，然后绑定指定游戏，放在那里看游戏是否有异常(掉线，封号等)就知道了.

b) 除了特征码检测，apex还会检测ring3钩子. 那么防止被检测钩子的办法有两个，如下

1 绑定参数加入dx.public.anti.api和dx.public.km.protect以及dx.public.graphic.protect,并且不要加dx.public.active.api和dx.mouse.cursor.并且模式必须101或者103

2 那就是用驱动后台内部版本.

c) 另外做到以上还不够，apex还有键鼠消息检测，普通的键鼠消息是会被检测。必须在绑定之后加入以下代码

EnableMouseSync 1,200

EnableKeypadSync 1,200

EnableMouseMsg 0

EnableKeypadMsg 0

内存汇编方面

配合memory盾就可以轻松过保护.

=========================GPK保护简介==================================

GPK是国内盛大开发的一套游戏保护措施，代表作品有传奇3等.游戏是否有GPK保护一般游戏开启以后，用XueTr等工具在驱动模块列表里可以看到
file:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtml1/01/clip_image002.jpg前台检测手段，以及规避措施用硬件模式就可以过检测。dm.SetSimMode2. 图色有些GPK会阻止前台截取图色，需要配合display盾来获取另外最好开启真实键鼠EnableRealMouse和EnableRealKeypad.防止行为检测后台检测手段，以及规避措施后台方面，模式用1 3 57 101 103即可. 另外最好开启np2保护盾或者使用驱动后台模拟.内存汇编方面配合memory盾就可以轻松过保护.
=======================HP保护简介========================

HP是国内开发的一套游戏保护措施，保护力度主要在反调试方面，算是国内做的比较好的. 代表作品有征途2等。主要是用在巨人的游戏上.游戏是否有HP保护一般游戏开启以后，在右下角托盘会显示图标. 如下图所示file:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtml1/01/clip_image002.jpg前台检测手段，以及规避措施用硬件模式就可以过检测。dm.SetSimMode2. 另外最好开启真实键鼠EnableRealMouse和EnableRealKeypad.防止行为检测后台检测手段，以及规避措施后台方面，需要注意的是，HP会检测ring3钩子,所以绑定的代码中不可以有dx.public.active.api和dx.mouse.cursor, 并且必须加入dx.public.anti.api和dx.public.km.protect以及dx.public.graphic.protect. dx.public.inject.type.6, 模式必须101或者103当然驱动后台肯定没这么多限制.内存汇编方面配合memory盾就可以轻松过保护.
========================TP保护简介==========================

TP是腾讯游戏广泛采取的保护措施，代表作品有DNF,QQ系列游戏等游戏是否有TP保护一般游戏开启以后，用Xuetr等工具在驱动模块列表里可以看到Tensafe.sys驱动file:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtml1/01/clip_image002.jpg 前台检测手段，以及规避措施用硬件模式就可以过检测。dm.SetSimMode2. 另外最好开启真实键鼠EnableRealMouse和EnableRealKeypad.防止行为检测后台检测手段，以及规避措施后台方面，需要注意的是，TP会检测ring3钩子,所以绑定的代码中不可以有dx.public.active.api和dx.mouse.cursor, 并且必须加入dx.public.anti.api和dx.public.km.protect以及dx.public.graphic.protect.. 模式最好用101或者103. 当然也可以用驱动后台.内存汇编方面配合memory盾就可以轻松过保护.
=======================XTRAP保护简介=====================

XTRAP是一款国外的保护，主要在台湾的游戏上应用比较广泛.游戏是否有XTRAP保护一般游戏开启以后，在右下角托盘会显示图标. 如下图所示file:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtml1/01/clip_image002.jpg前台检测手段，以及规避措施目前我的插件还无法在XTrap下实现前台.后台检测手段，以及规避措施后台方面，需要注意的是，XTRAP会检测ring3钩子,所以绑定的代码中不可以有dx.public.active.api和dx.mouse.cursor, 并且必须加入dx.public.anti.api和dx.public.km.protect以及dx.public.graphic.protect. dx.public.inject.type.6, 模式必须101或者103当然驱动后台肯定没这么多限制.内存汇编方面配合memory盾就可以轻松过保护.
=================================现在的检测后台手段，归纳有三种==========================
一.   检测特征. (包括进程特征,dll特征,窗口特征,句柄特征)进程特征: 一般是收集到你的exe程序,然后用特征码提取手段获取特征，加入特征库. 在目标程序运行阶段,动态扫描所有EXE程序,提取特征，和特征库的做比较. 对于这种检测,防护手段要么是改变进程特征,要么是用防护盾等手段阻止扫描我们的exe程序.推荐防护盾的phide和block盾,可以规避此类检测. 当然不是万能的. 最好的解决办法就是改进程特征.Dll特征: 和exe类似, 但是这次扫描的是你的EXE中的一些可疑DLL. 一些能够说明你身份的DLL. 解决办法和EXE类似. 当然，如果是扫描dm.dll， 这个可以告诉我。目前来说通过定制插件，可以避免此类扫描.窗口特征: 通过扫描所有进程中的窗口的类名窗口文本信息来封杀. 这类比较好解决，把所有窗口的文字修改一遍就可以，或者你如果有想法，可以把所有文字弄成谐音字随机. 可以彻底避免此类检测. 这种检测是大多数保护比较常用的一个手段. 二.   检测绑定. (就是检测hook的钩子)对于这种检测手段的原理是,对比hook前后的代码内容是否一致，如果不一致就封杀.现在这种检测也越来越常见. 比如TP PP Apex等都有见到类似检测手段. 解决办法,很难. 除非你不用后台。
这里我们只能说尽量规避一些常用钩子的检测. 分dx后台和drv后台两部分来说.
dx后台, 键鼠中不要用dx.mouse.raw.input.api dx.mouse.cursor和dx.keypad.raw.input.同时公共中不能有dx.public.active.api,dx.public.active.api2同时公共中必须有dx.public.anti.api,dx.public.km.protect和dx.public.graphic.protect. 这样就可以避免绝大部分检测.这里重点说下apex的. Apex必须使用驱动版本。 同时apex必须手动进一次，再退到登录,然后开启h1盾,再用后台绑定,再进入.而且中途不可以解绑,必须退到登录才可以解绑.
drv后台, 这个就比较自由了. 带drv的都可以加. 带message的也都可以加. dx.mouse.api和dx.keypad.api加上的话，必须配合dx.public.graphic.protect. 还有绑定模式必须是103或者203. 其他模式都会检测到. 另外必须关闭键鼠消息. EnableMouseMsg 0和EnableKeypadMsg 0 否则后台可能会无效.三.   检测行为1.      检测键鼠动作的行为是否足够随机. 比如检测鼠标在点击某个按钮时,是否每次都在同一个坐标.
比如检测鼠标在移动时，前后2个点的位置的距离是否太大. (当然这种需要多个点综合检测，才可以确认)还有是检测每次移动完鼠标,是不是立刻就是鼠标点击动作.
对于这种检测,我们用EnabelRealMouse和EnableRealKeypad来规避检测       2.  当有后台键鼠动作时，检测前台键鼠的操作时间和上一次操作的时间是否有变化
         这种检测比较少见,但也确实存在检测的可能性.          对于这种检测,防护办法也很容易,每次当你操作键鼠前,加一个前台的无效按键指令.       比如dm.KeyUp252 (这里这个dm对象必须是没有绑定窗口的,并且你要确保这个前台操作有效果,如果没效果最好开启dm.SetSimMode 2)

bocai7821

怎么没有顶啊
就像TS的DX鼠标
应该包含了dx.mouse.cursor和dx.public.active.api这2个函数
有的游戏里用到这2个函数稳死啊

slz336

我回复顶你