【游戏逆向】寻路函数隐藏检测点分析

案例：

某游戏出现调用寻路函数失败异常崩溃。

基本情况分析：

在刚登陆游戏的时候直接调用寻路函数崩溃。

手动寻路以后再调用寻路不崩溃。(排除了函数编写错误的可能)

猜测可能检测方法：

有某一个标志位(全局类型)在游戏刚登陆的时候没有被赋值。

如果手动寻路以后，该标志位被赋值，再调用该函数可以正常使用。

如果未手动寻路过，该标志位未被赋值，直接调用该函数，产生逻辑错误，产生崩溃。

也就是说我们调用的函数处于标志位被赋值的内层，跳过这个赋值过程，而在更内层函数又对该标志位进行了访问验证。
解决方法：

1.通过来回返回到选角色界面 和进入游戏界面

搜索这个标志位。

返回角色界面会初始化搜索变动的数值，进入游戏以后不会被赋值，再手动寻路以后再搜索变动的数值，来回多次筛选。

最终失败，那失败的原因是什么呢？其实很简单，如果他是一个全局变量，那么他一定是可以扫描到的，但是如果他是一个指针地址，那么我们初始化以后他就变化了，这种方法就不行了，最开始我们猜测他是一个全局类型的标志位，但是目前确定并非全局变量。

2.暴力修改寄存器的方法

在CALL上的寄存器 即使无用，也是会有这些标志位线索的

而不是像书本上说的 只有ECX EBX可能传递参数

我们可以每个寄存器清零 当然不能修改ESP，看哪个寄存器可能和标志位有关系


最后在修改到ESI的时候崩溃了

然后我们追ESI来源，发现ESI是小地图控件对象，而在这控件对象下面有一个标志位，如果打开地图寻路，那么这个标志位为1，否则是0，我们没有手动寻路过的话，就是这个标志位的问题导致崩溃，逻辑很简单，你没打开地图是怎么寻路的呢？

3.返回最外层调用分析全部参数和属性

可以最全面的分析每一个值，而不遗漏

为什么不在最内层调用？因为寻路是多次频繁发包，不像其他函数1-2次发包即可，一段寻路可能上百次发包，那样我们需要自己写寻路算法，发送走路封包了，工作量一下扩大很多，当然如果以上两种办法解决不掉的情况，自己用A*写寻路，貌似也成为了一种方法。

联想：

如果某些游戏存在这样的检测点，而不产生异常，选择让外挂用户悄然不知的措施，再其使用该功能以后的一段随机时间里进行封号处理，是不是对外挂检测和防御起到更大作用。

甚至说让反检测方很难发觉呢？

否则直接崩溃，让人直接抓到突破口，视乎失去了意义。

当然，也许设计者并不是为了 检测考虑，只是单纯的逻辑冲突导致崩溃。

但是这是值得我们借鉴的好方法。