무고밴 총정리
나름 보안계열에서 활동하며 얻은 지식으로 써봄.

로그 자체가 호환 100% 완벽한 로깅이 아닐뿐더러

하루에 수십만개의 로그가 쏟아져나오는데, 거기서 정상유저와 핵유저를 판별하는것 자체가 오류임.

메모리 해시(보편적으로 CRC) 로 로그를 남긴다고 가정하면

오캠이라던지, 멜론 반디캠 등 외부프로그램의 로그를 남길 확률이있음.

오캠이나 반디캠은 녹화를 진핸할때 호환성과 품질등의 이유로 최상위에 노출된 응용프로그램에 Dll 파일을 인젝션시킴.

이과정에서 메모리변조가 감지될 확률이 있음.

멜론도 마찬가지로 음질 및 소리관련 조절(스카이프, 토크온 같은 경우는 자체적 드라이버를 사용해 로우레벨에서 사운드를 제어하기에 DLL인젝션 하지않음.) 으로 DLL 인젝션을 확인, 로깅될 확률이있음.

만약 토렌트나 p2p프로그램도 제재의 대상이라면
비정상적인 트래픽 증가도 로깅될수있다는 추측이 나오는데, 이 부분은 정확한 정보가없으니 묵념하겠음.

하여간 좆도모르면서 "무고밴 없어~" 하지말자.

예를들어 RPG 게임에 몹 몰이 핵이 등장했다고 가정하자.
이 경우엔 메모리 조작 혹은 몹들의 좌표를 계산하는 방식이 가장먼저 떠오른다.

메모리 조작감지같은 경우는 매우 민감하여 정확한 해시값을 구해 비교하는 방법이있는데, 이 경우엔 소규모 범위, 대규모 범위가 존재한다.

소규모 범위는 호환성이 좋지만 우회방법또한 간단하다.
대규모 범위는 검진률이 좋지만 오진또한 많아진다.

오버워치같은 경우는 후자로 판단하고, 대규모 해싱을 시도중 다른 응용프로그램에서 DLL을 인젝션시킬때 "CreateRemoteThread" API 를 호출하게되는데, 이 과정에서 새 스레드가 생기며 메모리 검진 해시값이 틀려져 로그에 남게된다는게 가장 신빙성있는 상황이다.

또 한가지의 가능성이 존재한다.
마우스 후킹을 탐지한다면 오진률또한 막강해지겠지만, 이미지 서칭핵을 통째로 잡는것또한 가능하기때문이다.

마우스 후킹은 커널에 작은 권한만 있어도 작동하기때문에 사실상 마우스 후킹을 감지한다는것 자체가 생각없는 행동이다.

오토마우스라던지 기타 마우스 조절프로그램 등 마우스를 특정 좌표로 움직이게 하는 프로그램이나 마우스 권한을 가지고있는 프로그램이라면 전부 로그로 남기게되는 셈.

45,000￦을 버릴 용기가없기에 테스트는 못해봤지만, 상황이 상황이다보니 이런 추측도 가능하게됬다.

마우스 조절 프로그램 등을 감지하는것 같다는 제보가 많기때문에 마우스 후킹프로그램도 조심해야한다는 추측.

세번째 위험도는 기기 고유 넘버체킹이다.

실제로 검진률이 엄청 높고, 오진률이 적은 신적 알고리즘을 구현하여 오버워치에 적용했다고 치자.

그렇다면 로그에 남기는건 그 계정의 정보인데, 여기서 BIOS ID라던지, ip 혹은 mac address 등을 수집할 수 있다.

핵을 킨 계정과 핵을 키지 않는 계정을 따로 쓰는 핵유저를 방지해, 동일 아이피에서의 접속 혹은 동일 고유값(아이피 맥어드레스 등) 에서의 특정 시간차의 접속을 로그로 남긴다면, 피시방에서의 무고밴 또한 설명이 가능하다.

핵 검진률이 100%라고 믿고 "응 너 핵~" 이라고 씨부리는 무뇌아들은 보안 상식같은걸 조금 더 알아보고 씨부리자.