[Poradnik] Detekcja botów używających techniki Hardware Breakpoint hook

Opublikowano Wczoraj o 18:08 1 dn

Hej wszystkim!

Postanowilem wspomoc nieco tworcow serwerow, by mogli dodac sobie zabezpieczenie przeciwko niektorym rzekomo niewykrywalnym, a przy tym drogim botom.
Przedstawie sposob by w jak najprostszy a zarazem skuteczny sposob wykrywac metode Hardware Breakpoint hooking.

Czym jest Hardware Breakpoint i jak to dziala?

Hardware Breakpoint, najprosciej mowiac, jest to rejestr procesora ktory sluzy do zatrzymania programu na danym adresie PODCZAS DEBUGGOWANIA. Ustawiany w nim jest adres instrukcji na ktorej chcemy zatrzymac program. Domyslnie, kiedy program nie jest debugowany te rejestry sa WYZEROWANE, inaczej mowiac nie sa ustawione.

Jak boty to wykorzystuja?

Ustawiaja rejestr na miejsce z kodu gry w ktorym chca przejac kontrole nad dalszym wykonywaniem programu.

Jak mozemy wykryc bota za pomoca takiego rejestru?

normalne wartosci rejestrow DR0-DR3:

wartosci rejestrow gdy ktos wykorzystuje Hardware Breakpoint Hook:

Skoro rejestry domyslnie sa wyzerowane i oznacza to normalna sytuacje gdy ktos NIE DEBUGGUJE naszego programu ani nie uzywa zadnego bota, to mozemy zalozyc ze jezeli te rejestry sa ustawione na wartosc inna niz ZERO to cos podejrzanego sie dzieje.

Jak to zrobic?

Najprostsza i najtrudniejsza przy tym do zablokowania metoda bedzie stworzenie dodatkowego programu ktory bedziecie co jakis czas uruchamiac z prawami administratora z poziomu klienta swojej gry - to jak juz go uruchomicie to zalezy od was

Wynik programu po wykryciu HWBP: