关于某厂mtp 检测bypass

[复制链接]
查看2637 | 回复6 | 2022-1-28 22:22:55 | 显示全部楼层 |阅读模式
总结我的bypass mtp方案

读取检测
mtp对读取的检测:
这里就粗略讲下
缺页内存判断,详细可看Linux内存管理详解
这里可以用mincore和pagemap过滤

写入检测
mtp对写入的检测很多
以下是tersafe部分调用
这里v5=sysconf(_SC_PAGESIZE);
取到系统页面大小
addr=v6&~(v5-1);计算出内存中的页偏移
16行以后的翻译if(mprotect((void*)v6&(((pagesize)-1)^(pagesize-1)),v5,PROT_NONE) == -1){
if(v6)
free(v6);
v6= mmap(NULL,这里是个方法,7,33,-1,NULL);
if(v6==-1)
return NULL;
addra = v6&~(v5-1);
}
有点长,我们长话短说
我没有wps会员所以搞不了图
只能文字写
最后一行是返回0LL
我们可以把这个函数的的返回改成返回nullptr

当我们再次上游戏时
修改游戏数值
果不其然,确实不封号了
不过还有一个点
sub_2E8D34
这个函数也得返回nullptr

以上方法适合注入hook使用偏移量来hook

mtp的双开检测
这些带vap的都是
还有部分字符信息被加密过

dual_app_files
dual_app_uid
dual_uid_not_same
anti-virapp-files
com.vmos
vmos.prop
VMOS_ROOT_DIR
/sdcard/VMOSfiletransferstation
dual_uid_cnt
dual_uid_%d
dual_app

这些加密字符串调用在sub_2393f4
直接返回nullptr会出问题得try

可以通过virtualapp的挂钩函数来hook
有问题请留言

aaaa
村长黑科技是专业提供项目资源的服务的村长黑科技平台,如合购网赚项目、引流推广软件、软件程序开发等项目就选村长黑科技平台,参与或发布项目定制各种软件就来村长黑科技平台
大司命 | 2022-1-29 17:22:22 | 显示全部楼层
顶起顶起顶起
aaaa
村长黑科技是专业提供项目资源的服务的村长黑科技平台,如合购网赚项目、引流推广软件、软件程序开发等项目就选村长黑科技平台,参与或发布项目定制各种软件就来村长黑科技平台
回复

使用道具 举报

千百渡 | 2022-1-29 21:00:50 | 显示全部楼层
支持,赞一个
aaaa
村长黑科技是专业提供项目资源的服务的村长黑科技平台,如合购网赚项目、引流推广软件、软件程序开发等项目就选村长黑科技平台,参与或发布项目定制各种软件就来村长黑科技平台
回复

使用道具 举报

天镜盗梦 | 2022-2-1 19:24:11 | 显示全部楼层
锄禾日当午,发帖真辛苦。谁知坛中餐,帖帖皆辛苦!
aaaa
村长黑科技是专业提供项目资源的服务的村长黑科技平台,如合购网赚项目、引流推广软件、软件程序开发等项目就选村长黑科技平台,参与或发布项目定制各种软件就来村长黑科技平台
回复

使用道具 举报

半度微凉 | 2022-2-1 22:57:31 | 显示全部楼层
前排支持下
aaaa
村长黑科技是专业提供项目资源的服务的村长黑科技平台,如合购网赚项目、引流推广软件、软件程序开发等项目就选村长黑科技平台,参与或发布项目定制各种软件就来村长黑科技平台
回复

使用道具 举报

68079330 | 2022-2-3 18:43:41 | 显示全部楼层
前排支持下
aaaa
村长黑科技是专业提供项目资源的服务的村长黑科技平台,如合购网赚项目、引流推广软件、软件程序开发等项目就选村长黑科技平台,参与或发布项目定制各种软件就来村长黑科技平台
回复

使用道具 举报

千面萌萌 | 2022-2-3 21:33:12 | 显示全部楼层
村长帖子非常给力
aaaa
村长黑科技是专业提供项目资源的服务的村长黑科技平台,如合购网赚项目、引流推广软件、软件程序开发等项目就选村长黑科技平台,参与或发布项目定制各种软件就来村长黑科技平台
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则