bknaa/ue4-internal-cheat-analysis

GitHub: bknaa/ue4-internal-cheat-analysis

一份针对混淆的UE4内部作弊DLL的静态逆向分析报告,详细拆解其注入与hook架构并对比Riot Vanguard的内核级防御机制。

Stars: 0 | Forks: 0

# ue4-internal-cheat-analysis 分析 针对混淆的内部 UE4 作弊 DLL 的静态恶意软件分析及架构拆解,对比 Riot Vanguard 的防御机制。 # 技术分析报告:Unreal Engine 4 内部作弊 artifacts 与 Riot Vanguard 的对比 ## 1. 执行摘要 本报告涵盖了对一个经过混淆的内部动态链接库 (.dll) 的静态恶意软件分析,该二进制文件旨在破坏使用 Unreal Engine 4 的战术射击游戏。该二进制文件尝试进行内存注入、通过 `ProcessEvent` 进行用户态 API hooking,并实现了各种反检测机制。 ## 2. 文件识别与元数据 * **文件类型:** PE32+ x86-64 DLL (Windows GUI 子系统) * **区段 (7):** `.text`, `.rdata`, `.data`, `.pdata`, `.fptable`, `.rsrc`, `.reloc` * **内部 DLL 名称:** `JJGBFRV368BY238RB8R3HFSNS.dll` (混淆典型的随机命名约定) * **编译时间戳:** 2026 年 6 月 30 日 ### 开发者环境泄露 (PDB 路径) 编译器未能剥离调试符号,暴露了开发者的绝对 Program Database (PDB) 路径: `c:\Users\yigit\Desktop\dvn\project\x64\Release\JJGBFRV368BY238RB8R3HFSNS.pdb` ## 3. 导入地址表 (IAT) 分析 该二进制文件从 5 个核心 Windows 子系统导入函数,以与系统内存和输入设备进行交互: ### A. 内存操作与反调试 (`KERNEL32.dll`) * `VirtualAlloc` & `VirtualProtect`: 用于分配内存和修改内存页保护属性 (例如,将内存页访问权限更改为 Read/Write/Execute) 以促成代码注入。 * `CreateThread`: 用于在游戏进程内启动一个独立的执行线程。 * `IsDebuggerPresent`: 标准的反调试检查,用于检测二进制文件是否在分析环境 (如 x64dbg) 中运行。 ### B. 输入拦截 (`USER32.dll`) * `GetAsyncKeyState` & `GetKeyboardState`: 用于异步监控按键操作,通常用于映射作弊覆盖层或触发 aimbot 的自定义热键。 * `GetCursorPos` & `ScreenToClient`: 用于映射相对于游戏窗口视口的鼠标坐标,以进行 Aimbot 计算。 ## 4. 字符串提取与 Unreal Engine 指示符 静态字符串分析揭示了针对 Unreal Engine 4 基础设施的明确内部组件: ### A. 引擎 Hooking * `[+] ProcessEvent hook initialized` * **机制:** 覆写 UE4 中的核心 `ProcessEvent` 函数,使得该二进制文件能够拦截游戏引擎执行的每一个函数调用、实体更新和渲染例程。 ### B. 游戏特定 Artifacts (Blueprint 类) 该二进制文件针对特定的 Valorant Blueprint 类和 agent,这些内容被硬编码在字符串表中: * **角色控制器推断:** `Phoenix_PC_C`, `Killjoy_PC_C`, `Breach_PC_C`, `Sarge_PC_C`, `Wraith_PC_C` * **武器与道具子类:** `AssaultRifle_AK_C`, `SawedOffShotgun_C`, `LeverSniperRifle_C`, `Pawn_TrainingBot_Defuse_Ultimate_C` ## 5. 缓解与防御环境 (Riot Vanguard) 虽然该二进制文件包含引用了 `Fake lag`、`Jitter range`、`Resolver Intensity` 和 `Desync range` 等功能的字符串以绕过基本的服务器端启发式检测,但其用户态注入技术受到了 Riot Vanguard 的强力缓解: 1. **Handle 剥离:** Vanguard 的 Ring 0 驱动程序在引导时运行并剥离进程 handle 权限。用户态进程无法轻易获取具有 `PROCESS_VM_WRITE` 或 `PROCESS_VM_OPERATION` 访问权限的 handle。 2. **内存页监控:** 通过 `VirtualProtect` 对关键内存页进行的修改会在内核级别受到动态监控,从而触发立即的完整性违规标记。
标签:DAST, Windows底层, 云安全监控, 云资产清单, 反作弊机制, 恶意软件分析, 游戏外挂分析, 端点可见性, 逆向工程, 静态分析