반응형
현재 가드 프로그램의 구동형식과 실행 현황
정상적인 상황
게임실행(클릭) -> 클라이언트 구동 -> 가드프로그램 구동 -> 가드프로그램의 서치스레드시작 -> 메모리조작 프로그램 탐지 -> 개임종료
비정상적인 상황
게임실행(클릭) -> 클라이언트 구동 -> 가드프로그램 구동 -> 가드프로그램의 서치프로그램구동 -> 서치프로그램의 스레드 후킹 -> 탐지부분의 점프 -> 정상적인 게임실행
-> 메모리 조작프로그램
실제적으로 가드를 무력화 시키는 것이죠 유저들 사이에서는 바이패스(bypass):우회로 라는 이름으로 불리우고 있습니다
자 그렇다면 메모리를 수정하는 것 또한 가드 프로그램에서 막고 있습니다
exe파일을 메모리상에 올리게 되면
요런 모양이 되겠죠
그럼 해커의 경우에는 쓰레기값에 자기가 원하는 dll파일을 넣을 수 있게 되고
모든 메모리상의 메모리 이동 이라던가 여러가지 정보들을 마음대로 수정가능하게 되는것이죠
메모리를 수정하게 되면 당연히 클라이언트는 종료되겠죠
메모리 부분을 수정하지 않고 exe파일을 어셈으로 변환하여 직접적인 이동 부분을 수정합니다
물론 실행되지 않는 상태이죠
그럼 exe파일이 바뀌는 것이 아니냐? 네 맞습니다 exe파일이 바뀌지요
하지만 바이패스로 exe파일이 변경된 것을 감시하는 스레드를 점프 시켜버리면?
간단히 끝나는 문제입니다
반응형