Перехват сообщений процесса (антикликер)

[SCRIBE]

Привет.

Вопрос в продолжение к предыдущему, пытаюсь осуществить минимальую защиту приложения(процесса).
Можно ли как-то перехватить эти сообщения, что посылаются кликерами? И даже если перехватить, то как их отличить от программных посылок сообщений, типа,
Send/PostMessage, от нормального клика пользователя мышкой?

Заранее спасибо.

[RXL]

Никак. Сообщение не содержит такой информации: https://msdn.microsoft.com/ru-ru/library/windows/desktop/ms644958(v=vs.85).aspx

[zubr]

Да, по простому - никак. Чтобы узнать хозяина клика надо перехватывать у открытых процессов функции апи, имитирующие клик (mouse_event, SetCapture, Send/PostMessage, FindWindow и т. д.). Это конечно сложно, но можешь попробовать готовые инструменты для перехвата типа madCollection, правда не уверен, что он умеет в x64 перехватывать, по крайней мере лет 6 назад не умел.

[SCRIBE]

А хотя бы накинуть хук на созданный процесс?

Я пока пробую так, но ничего не выходит:

Код: (Delphi)

var
MainHook: HHook;

function HookCallBack(nCode: Integer; wParam: WPARAM; lParam: LPARAM): LRESULT; stdcall;
begin
  Result := CallNextHookEx(MainHook, nCode, wParam, lParam);
  if nCode >= 0 then begin
      LogThis('Message ' + inttostr(PCWPStruct(lParam).message));
  end;
end;

if CreateProcess(nil, PWideChar(FPath), nil, nil, true, AFlag,
        nil, nil, tmpStartupInfo, tmpProcessInformation) then
begin
MainHook:= SetWindowsHookEx(WH_CALLWNDPROC, @HookCallBack, 0, tmpProcessInformation.hThread);
end;

Процесс запускается, но в логе пусто.

Или без dll тут никак?

[zubr]

А что тебе даст хук? Ну поймаешь сообщение идущее к твоему окну, все равно откуда идет непонятно.

[SCRIBE]

Ну, я посмотрел какие сообщения отправляют кликеры, и какие сообщения отправляются при обычном нажатии, расхождения есть, и да, их можно исправить и на 100% подделать, но это знает далеко не каждый. Так что было бы неплохо хук накинуть и фильтровать хоть немного.

[zubr]

И что ты увидишь в данных хука отличных от данных, которые ты можешь получить в своем окне из процедуры окна?
Хендл окна, координаты клика, код сообщения.

[SCRIBE]

Мне не важно какое окно его отправило, я просто закрою процесс при подозрительном сообщении.
Мне в хуке надо только стандартные данные, код сообщения, w|l параметры и координаты.

[zubr]

Тогда зачем хук, эти же данные ты можешь получить из процедуры своего окна.

[SCRIBE]

Не могу, через CreateProcess запускается совсем другая программа, написана не мною.

Такое чувство что Вы уговариваете меня не прыгать из окна

[RXL]

Кликеры определяют по патернам поведения: допустимо ли такое поведение при честном клике. Оценивается не одиночный клик, а вся сессия или ее часть. Например, в игре игрок не может кликать тысячи объектов с интервалом в доли секунды. С другой стороны, надо понимать первичные цели. Например, на игровом проекте, где я сейчас работаю, мы лояльно относимся к кликерам, хотя некоторых "честных" игроков это раздражает. Все просто: пользующиеся кликерами, как правило, либо нормальные плательщики, либо в прошлом платили (и их надо уважить, потенциально они снова могут стать плательщиками). Достаточно лимита операций в секунду, чтобы не наглели. Например, разрешить 3 клика в секунду.

[SCRIBE]

Я тоже за это, но как хук то поставить?))

И еще, я в свое время когда играл в игры где небыло особо защиты, не донатил никогда, а только кликеры и делал, под паттерн не подхожу))

[RXL]

Я тоже. Просто мы "не целевая аудитория". Мы бы при любом раскладе не платили в этих играх. Ну или с очень малой вероятностью.

[SCRIBE]

В современных играх кликерить особо не на чем (от игры зависит).

И еще такой вопрос, хук повесить можно?=)))

[zubr]

Если чужой процесс, то глобальный хук, естественно длл.

[SCRIBE]

Но он почти родной, создавался через CreateProcess, на нем висит уже Job, есть айди процесса, и все равно длл?
Ну да ладно, длл так длл, все к нему шло

[zubr]

Рандомное время между down и up при клике, рандомные координаты клика, рандомное время между кликами - и никаким алгоритмом не определишь бота. Думаю, только школьники, написавшие свой первый кликер, будут кликать в одно и тоже место с одинаковыми временными интервалами.

[zubr]

Ну если так уже не хочется глобальный хук, загони свой код в чужой процесс (инжект - OpenProcess, WriteProcessMemory, CreateRemoteThread) и подмени там процедуру окна (сабклассинг - GetWindowLong, SetWindowLong).

[SCRIBE]

Это да, если постараться, можно что угодно. Никакая защита не есть 100%-ой, но это не значит что ее не должно быть. Вот как раз школьников и откинем, уже плюс.
А серьезные дяди взломают ее и так, будь там что угодно, каким-то Olly или SoftICE.
Но для этого есть обновы самого ПО, пакеры, протекторы и т.д. Да и, кому это нужно, не тот уровень=)

Спасибо за наводку, поищу как это дело реализуется.