关于某a系反作弊黑ke弹窗分析

黑鲨two

最近某A系反作弊更新，对CE的检测会出现黑ke弹窗


如何检测？


个人思考：
1.可能通过CE的窗口特征（驱动保护窗口即可绕过）
2.可能通过ce启动调用的底层API
3.可能通过某些特征码


如何绕过：
1.关于内存大牛，可能过逆向定位检测函数，进行ret或者NOP
2.用市面上开源的驱动进行保护窗口（内核大牛可以手搓！！）
3.重写ce，将窗口风格改掉，觉得有特征的地方都进行修改，比如标题，布局等等
4.可能通过某线程持续进行扫描，可进行砍线程


内存如何定位？（我没有真正的找过，只是想法，错了大牛勿喷！）
1.大家都知道当出现检测后会出现弹窗，那么这个弹窗是如何来的呢？   这里一般是通过调用windows的底层api messagebox 或者其他的一些弹窗函数进行的弹窗，或者 creat窗口函数，那么我们是否可以断下之后进行找返回呢？  这里猜测是不会进行send发包通信的所以断 messagebox函数的可能性最大








以上思考仅个人思考，并未做相关验证，错了可以指出，别骂我狗头保命交流:903889961

黑鲨two

a524666979 发表于 2025-11-13 20:10
说了半天 和没说一样.

我这说得还不清楚呀？ 会点基础的随便就绕过了

a524666979

说了半天 和没说一样.

黑鲨two

IIIllIIl 发表于 2025-11-13 16:37
把XXXXBase.dll的线程给暂停就不会弹了

未测试，理论可以，但可能游戏会上不去


补充内容 (2025-11-13 20:31):
基本上所有绕过方法都囊括进来了

IIIllIIl

把XXXXBase.dll的线程给暂停就不会弹了