一次简单的逆向外挂弹窗分析
今天记录一次混水逆向游戏cf外挂软件过程,夏日炎炎,日常敲码。。。。最近忙于建自己站,需要往自己博客添加一些软件,我就盯向了 游戏外挂这个流量群体,像我们这种肯定没时间去写,
那只能去破解啊,我随便搜索几个辅助网的 下载了一个xxx断网瞬移 不多说开始我的分析过程 !
先查壳 嗯 很干净。。。
然后 F9运行程序 出现这个
打开一个弹窗出现在我的眼前,emm 很多辅助都有这种手法 带一个远程更新,然后我就看了看中文搜索引擎字串
很干净,就头部这里 看到一个TSTheme.exe 以及\dllexe是检测进程名 然而dll是释放dll 心里明白了 默默打开Exeinfope 提取dll
然后,我们就可以看到改dll 是加了vmp2.07 我说呢 原来就是一个启动程序
在把dll 丢进od
开始 以为 看到这些字串 可以确定就是这里了 ,但是我仔细在看看 发现不对劲
看到这里竟然还在释放dll,对于我这个混过辅助圈的,可以确定这个才是功能dll这作者真是有点废心机哈
嗯 分析已经完了,那就开始 步骤吧,对我个人 而言 我只需要把弹窗去掉 就可以了
然后在弹窗错误这快 找到头部 进去retn 用pyg的补丁工具 打一个dll 就可以了 这里不多操作思路放这里了 !
还有一种办法就是提取功能dll,自己写注入 至于提取方法就是 进群下载新版本 ,如果没有游戏 自己易语言写一个以 crossfire.exe 命名的程序 等他会释放出dll 自己额外复制一份 出来永久可用
自己在网上随便下载一个万能注入功ju就可以用了,大概思路是这样 具体靠各位实践哦!
大佬你那个seo的提问不了了,那个产品展示的时候图片上的超链接和文字上的超链接 一样的时候 给图片上的超链接加 nofollow对吧 文字上的超链接不加 光提取dll估计没用,要是dll还有二次校验就炸啦{:1_907:} 他们搞这种辅助一看就不专业,最起码得上个反射注入,最好再抹了PE头,还得在功能DLL里加上防dump,才能保证安全。 qzhsjz 发表于 2020-7-30 14:02
他们搞这种辅助一看就不专业,最起码得上个反射注入,最好再抹了PE头,还得在功能DLL里加上防dump,才能保 ...
主要一帮小孩子哪里懂这么多哦 膜拜大神,,,这些工具哪里有的下载呢? 加油!很厉害 学习一下谢谢分享 学习学习谢大佬分享 菜鸟表示看不懂啊,太复杂了