CSGO游戏AliveNK辅助详细分析！

反恐精英ol：全球攻势》(通称：CS:GO)做为《反恐精英》系列产品游戏的第四款著作，在FPS游戏游戏玩家中一直拥有 较为高的名气，现阶段是全世界游戏玩家最多的FPS游戏之一，2017年4月18日《CS:GO》国服手游打开先峰公测，虽然本次CS:GO国服手游进到三套安全方案但依然在公测2个星期内便出現了功能齐全的辅助，在其中AliveNK辅助作用也是全方位。本次关键以AliveNK对CS:GO辅助开展分析。

辅助静态数据分析

文件目录特点

辅助的文件目录构造非常简单，只能一个实行文档“AliveNKV617[可选择版].exe”。辅助作用起动后，还会有注入到游戏内的result.dll，c盘网站根目录下能转化成配备信息内容，另外会在游戏文件目录下转化成相匹配环境变量，详细如下：

名字功效所属相对路径AliveNKV617[可选择版].exe辅助登陆界面储放文件目录result.dll辅助注入、逻辑性保持模块%temp%，注入之后被删除kss.ini辅助联接状况，系统日志c:test.txt辅助账号c:test1.txt辅助剩下的时间c:config.xml辅助环境变量..CSGOsteamappscommonCounter-StrikeGlobalOffensive文档特点

辅助主页面AliveNK，VMP加壳，IDA拖进编码阅读文章能力差

主页面未对调节做检验和抵抗，调试器可一切正常额外开展分析

辅助注入模块result.dll（/TemporaryFile），注入后被删掉

根据对CreateFile和WriteFilehook阻拦，获得详细dll，一样辅助模块加VMP，IDA易读性很差

辅助环境变量config.xml，未做数据加密，里边包括着辅助作用配备选择项

辅助动态性分析

个人行为分析

辅助有二种方法注入，分析第一种注入，立即hook系统进程遍历和普遍的注入api，纪录以下：

另外辅助在遍历总体目标系统进程的另外，在%temp%文件目录下释放出来本身即将注入的dll

最后辅助根据建立远程控制进程，将result.dll注入到总体目标系统进程中

选择此外一种方法注入，发觉得到了一样的api启用编码序列，另外监控器到无信息勾子建立，无dll被劫持，无LSP和删除注册表的有关改动，辅助的第二种注入方法实质上依然是远程控制进程注入，与第一种并没什么不同

辅助注入游戏后，调试器额外后，没法寻找辅助模块，融合pchunter模块载入的详细地址，能够寻找辅助的运行内存遍布

爆力检索运行内存中的有关字符串数组，能够得到有关字符串数组信息内容，字符串数组做显示信息UI应用，各自相匹配辅助的汉化版和英语版

另外发觉，模块载入后，会先跨模块启用游戏内每个模块的导出来涵数CreateInterface，获得每个游戏模块内的插口

辅助根据获得到的插口，进一步测算算出别的涵数详细地址（下面的图为辅助获得的游戏内UI显示信息的一部分插口）

实行机会:

辅助注入之后在游戏的右上方绘图自身的对话框，猜想辅助启用了dx/gui有关绘图涵数，对普遍api下单步开展回朔后，仍未发觉有关辅助启用信息内容。分析全过程中留意到当辅助储存配备时候向游戏页面上载入储存配备取得成功，融合相匹配密文空格符，精准定位到有关逻辑性：

进一步跟踪，辅助改动了虚表[[[vguimatsurface.55BEF580]]+0xA4]，换成自身的辅助模块详细地址，得到实行机会

虚表本来偏向vgui2.dll+0x180A0，启用来源于client.dll.engine.dll，vguimatsurface.dll等好几处，承担游戏中UI有关作用，辅助改动虚表偏向自身的模块，用于获得自身的实行机会。

辅助作用分析

透視

辅助得出了透視的选择项-ESP作用，融合激话电源开关，根据CE检索电源开关标志位，再根据对标志位下浏览单步，回朔后精准定位到ESP作用的通道涵数

跟踪分析，根据分析步骤自动跳转，明确辅助temporaryfile.3061bb80为透視有关的作用涵数（仅改动自动跳转，透視框架消退，别的作用一切正常）

进一步分析temporaryfile.3061bb80保持逻辑性，辅助在涵数内启用engine.dll得到有关数据结构

再分析数据结构获得座标有关偏位，最后将获得的座标储存到自身的模块

最后启用engine-CEngineVGui::Paint开展绘图

第三人称

游戏辅助出示了第三人称角度，能够融合陀螺图片辅助应用，伤害水平很大

根据启用和关掉第三人称，融合CE检索重要标志位明确第三人称在游戏中的电源开关部位

辅助改动了游戏内的第三人称的电源开关，开启了第三人称角度

手机陀螺仪

CS:GO陀螺图片辅助危害比较极端，角色能够迅速转动颤动，辅助中的UI中得出了陀螺图片辅助的偏移量数据信息，这一实际上是角色房屋朝向和打枪方位的偏位。融合CE检索偏移量，精准定位到辅助模块存储偏移量的内存地址

对详细地址下浏览单步，融合手机陀螺仪的打开机会，最后明确result.dll+0x5D1D为重要详细地址

分析所述浏览偏移量的详细地址，所有存有于辅助模块，跟踪分析别的好多个详细地址，仍未发觉游戏立即或是间接性浏览了这一偏移量，因此，辅助很将会将偏移量开展了测算变换

融合result.dll+5D1D处回朔分析，最后明确偏移量的测算逻辑性：

游戏中极有可能应用的是测算后的这一偏移量，融合CE对偏移后的浮点数开展检索，最后明确重要详细地址

这时打开手机陀螺仪的颤动作用，发觉角度及测算后的方位不断的被改动，猜想游戏辅助很将会的在不断的改变数据信息

对辅助中的测算后的浮点数据信息下载入单步，用于得到辅助在改动后的实行逻辑性：

堆栈回朔分析，最后明确陀螺图片的关键保持逻辑性：

辅助最先会启用eingine中涵数分辨游戏当今情况，假如在服务厅，则相匹配陀螺图片作用都不打开

最终，辅助会得到当今的手机陀螺仪打开的方法和设定的设定的偏移量，最后将测算好的偏移量，载入到运行内存中

认知机会上，辅助已不根据vguimatsurface.dll，将以前分析透視有关的虚表修复，也不容易危害到陀螺图片的作用，根据分析得到，陀螺图片hook了engine承担帧绘图有关虚表，得到变更角色情况的实行机会（原虚表偏向client+0x22C340）

随后变更了hook了获得角色角度的虚表client.dll+0x2BA636处（本来应当callclient+0x23c4a0），开展对当今角度开展改动

后记：

1.CS:GO游戏通用性安全性维护抗压强度不高，游戏分析门坎较低，造成了辅助制做成本费较低

2.CS:GO-VAC检验抗压强度不高，造成了辅助生存周期时间较长。

3.CS:GO无前端开发即时抵抗计划方案，惩罚舞弊具备推迟性。

4.CS:GO角色座标全局性下达，造成游戏会长期的存有FPS通用性的透視自瞄等辅助风险性