결론부터 말함
아래 모듈 100%우회 못하면 ㅁㅁㄹ Read/Write 기반들은 100% 감지됨(어차피 우회 못하면 Read조차 못함)
요즘 많이 돌아댕기는 뭐 화면인식 등 그런애들 능력없어서
마우스 움직임, 키보드 움직임같은거 100% 소프트웨어 신호로 움직일텐데 Bypass 못하면 반드시 모가지 .(기간의 차이) -> 하드웨어 신호로 보내면 되는거 아니냐?: 맞긴한데 PC에 연결된 하드웨어가 커스텀 펌웨어 한 장치 아니면 크게 의미없다고 본다.
커널 (Ring 0)
BlackCat1.sys
- 상시 서비스로 상주하는 메인 커널 드라이버임
- ObRegisterCallbacks 를 IAT에 없이 동적으로 로드함
→ 정적 분석으론 안 보임. 런타임에 가져오는 방식.
→ 이걸로 msw.exe 핸들 열면 VM_READ 권한 박탈함(이거 해결 못하면 개발도 불가)
- PsSetCreateProcessNotifyRoutine 으로 프로세스 생성 전부 감시함
- 내부 _ 섹션 3.7MB 전체 난독화 처리됨. (복호화 화이팅!)
BlackCat64.sys
- 게임 폴더에 있는 게임 전용 버전임
- BlackCat1.sys 랑 같은 계열
유저모드 (Ring 3)
grap64.dll
- 유저모드 보안 전체 지휘하는 오케스트레이터임
- IAT hook / INLINE hook 탐지 기능 있음
- grap-core64.aes 로드해서 실행시킴
grap-core64.aes
- 확장자는 .aes 인데 실제론 정상 PE 파일임 (위장)
- YARA 4.3.2 내장
- 게임 코드섹션 CRC 무결성 체크함
NexonGlobalSecurity64.dll
- MZ 헤더 없고 파일 전체 암호화 상태임 (엔트로피 7.87. 복호화 화이팅!)
- grap64.dll 이 메모리에서 복호화해서 실행하는 구조
NexonAnalytics64.dll
- 인게임 행동 데이터 수집해서 서버로 보냄
- 접속 해제 시 전송됨
다들 즐메