浅谈Battleye（BE）反作弊以及R6反作弊技术（三）

接上一章，原本这章预定讲aimbot的，但是发现资料准备的不足，所以我咕咕咕下。

这章我试着去说“中文”，尴尬 上一章写的有点像外挂教学了，2333

各位最近飞升的大佬也许会发现，当购买的价值不菲的“辅助”过期之后，哪怕把辅助删掉，然后再不开挂玩游戏，其号也会一个一个被ban掉，甚至于重装电脑之后也是依旧被ban。

那么恭喜你，你的HWID被ban了(此条仅r6玩家可见)

HWID，就是硬件编号，按照理论上来讲，你电脑里面的所有硬件均有无法更改的HWID。那么BE的进攻性在这里就展露无遗，这大概是蓝星唯一一个拥有HWID禁令的反作弊引擎。

用文明人的说法，你可以叫他“BAN机器”，也可以说锁机器，也可以说锁电脑

这里也许就有人开始抬杠了（比如GTA玩家），ban机器的反作弊大有人在之类的，那么我来简述下一般反作弊HWID禁令的对抗手段。

卸载清理系统（win10重置大法）

清空os所在的硬盘驱动器（操作系统安装的硬盘）

更改您的MAC地址

更改您的公网IP地址

更改您的硬盘序列号（这个百度）

那么您就在作弊引擎眼里获得了一台“崭新”的电脑。（这点用来对抗GTA的hwid禁令非常有效）

但是如果你把这些套路用来对抗be，你会发现，你会在被ban的道路上走的越来越远

那么可惜的是，BE采集了几乎所有电脑硬件的HWID，所有！所有!所有！目前可以确定的是，BE的hwid使用的一些规则如下。（红字为确定系数）

一：OS所在的硬盘会被ban（100%）

二：一般来说，使用纯透视或无后座或压枪之类的辅助，只有作死被封10个左右的号之后才会被ban（100%）

三：使用宙斯，wp这种暴力的，恭喜你，你被ban1-2个号之后就会被纳入HWID禁（100%）

四：如果继续不思悔改，现在您的主板，显卡 ，cpu均会被ban（50%）

五：被HWID禁令的现象为，在纯净系统下游玩r6，第二局被ban。（100%）

六：使用通用的Hwid欺骗方式会导致你被ban（100%）

那么对抗BE的hwid禁令的方法有两个

一：家里有矿

封了换，换了封，一块ssd才200，比外挂便宜多了

步骤一：淘宝

步骤二：换硬盘

步骤三：装系统

二：你需要一个HWID伪造软件

说白了就是伪造你电脑的硬件序列号，你需要一个工作在Ring0的HWID伪造软件

这两个方法对于一般人来说，代价颇高，目前国内那款卖400一个月的hwid伪造不知道生什么时候就会被BE检测出来，反正宙斯自带的伪造也就能保你24小时。

那么为什么，BE的hwid禁令如此高效和牛逼呢？

一：BE工作在Ring0

r0是intel 的cpu最高运行级别

二：BE在Hwid伪造方面拥有丰富的工作经验

be的创始人就是写挂的

三：一般的hwid伪造无效

be的hwid不仅仅是硬盘序列号，你必须购买一个全新的硬盘才能逃过hwid禁令

进阶部分

那么，BE是怎么做到的呢，原理在于大部分的HWID的欺骗无非是对DeviceIoControl进行挂钩，拦截了来自于IOCTL_STORAGE_QUERY_PROPERTY所有请求，然后返回一个看起来很“真实”的序列号，然后至于硬盘则是SMART_RCV_DRIVE_DATA，那么BE对于这种“正常行为”能够进行分辨，然后反手给你一个永久封禁。

参考资料

https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/content/ntddstor/ni-ntddstor-ioctl_storage_query_property

https://msdn.microsoft.com/en-us/library/ff566204.aspx

RING0

https://blog.csdn.net/bfboys/article/details/52421627