反编译_乐玩模块8.17_2_(部分源码解密还原)

freely随意 发表于 2020-9-30 17:01

本帖代码来源此地址：https://www.52pojie.cn/thread-1098608-1-1.html
在此感谢大佬分享出来的破解源码，读源码的时候发现原帖分享出来的代码很多匿名xxx，可读性不强，所以还原了部分代码，另外发现乐玩本身也有加密与压缩，因此还原了加密的字符串。
以下是原帖放出代码：

以下是还原后的代码：

说明：DLL文件可以不用下载，自己使用源码写个小程序解压出来看（源码中自带解压函数），因为本人需要乐玩部分功能，故解压出来使用，此代码只是部分还原（非全部还原）！
据原帖说有个火绒报毒的模块：hx.dll，导出函数如下：

序数函数名                            地址       参数量
------------------------------------------------------------------
1    Lw_GetUserFunction                028E71B1    1
2    lw_BaseNamedObjects                028E708E    2
3    lw_CallFunc                      028E6D35    6
4    lw_CopyObj                         028E6F15    3
5    lw_CreateMapping                   028E6E2E    3
6    lw_CreateThread                   028E6D54    4
7    lw_FindColorBlock                028E71F9    14
8    lw_FindMultiColor                028E7116    21
9    lw_FindMultiColorEx                028E7135    21
10 lw_FindMultiColorEx0             028E7154    12
11 lw_FreeLibrary                   028E6E7A    3
12 lw_FreeLibrary_Memory             028E6EB8    3
13 lw_GdiToDx                         028E6ED7    2
14 lw_GetNtId                         028E7008    1
15 lw_GetObjNameIdx                   028E6BD6    1
16 lw_GetProcessPEB                   028E6C3D    3
17 lw_GetWindowPic                   028E6EF6    10
18 lw_HeapAlloc                      028E6C7B    1
19 lw_HeapFree                      028E6C9A    1
20 lw_HeapSize                      028E7173    1
21 lw_InstallIMEA                   028E6DE4    2
22 lw_IshProcessDebuggerPresent       028E6C1E    1
23 lw_LoadLibraryA                   028E6D73    6
24 lw_LoadLibraryA_Memory             028E6E99    6
25 lw_MapView                         028E6F7C    1
26 lw_OpenProcess                   028E7218    1
27 lw_OpenThread                      028E6DC5    1
28 lw_OpneMapping                   028E6F34    1
29 lw_ReadMemory                      028E6B71    5
30 lw_SendStringA                   028E6F9B    4
31 lw_UnInstallIMEA                   028E7192    3
32 lw_UnMapView                      028E6FE9    1
33 lw_VirtualAlloc                   028E6CB9    3
34 lw_VirtualAllocEx                028E7050    3
35 lw_VirtualFree                   028E6CD8    3
36 lw_VirtualFreeEx                   028E706F    1
37 lw_VirtualProtect                028E6D16    5
38 lw_VirtualQuery                   028E6CF7    4
39 lw_WriteMemory                   028E6B90    5
40 lw_findPic0                      028E70F7    12
41 lw_getD3dHookAddr                028E70D8    3
42 lw_isProcessX64                   028E6C5C    1

这个要是删了，整个模块也就废了，这易语言模块好多函数依赖于这个DLL，360直接查杀没发现毛病，估计运行起来一些HOOK可能会被报毒
附DLL文件说明：
ADB.dll （此DLL没搞明白，DLL说明没啥东西，导出函数没有，导入函数好几个ADB开头的，猜测可能是安卓ADB调试）
BeaEngine.dll 一个反汇编引擎（GitHUB上有源码）
DrvLnDll.dll 键盘鼠标驱动（DLL说明上有个链接，点进去是卖源码的:keai，不知道是乐玩买的源码，还是乐玩的作者在卖源码）
gzip.dll gzip压缩的
hx.dll 找图，HOOK，内存相关乐玩动态库
lock.dll 没搞明白，只有一个myMain导出函数，说明是windowlock（锁屏的？锁电脑的？）
SkinH.dll 这个玩意儿从XP时代到现在还在用，界面库
XEDParse.dll 汇编引擎

部分还原后的代码以及代码中的资源文件解压后的DLL（可以用DLLVIEW直接查看导出导入函数）：

freely随意 发表于 2020-9-30 20:26

seazer 发表于 2020-9-30 19:17
乐玩编译，火绒报毒，按上面那个链接的方法删掉匿名资源_2文件，结果就编译错误，
所以希望大佬们能分享个 ...

他说的那个匿名资源_2文件就是我帖子里说的hx.dll了，就是乐玩插件的核心，删掉的话，这插件基本废了，不过看他导出的这些函数名，基本都是系统函数，估计是重定向函数，防止HOOK，可以用DLL函数代替，然后删掉代替不了的，就能用了，不过也没啥用处了，找图，找色，directHOOK都在这里边

freely随意 发表于 2020-9-30 20:18

Jr丶新一发表于 2020-9-30 17:29
在精益那边都说乐玩是有后门的你发现了吗

我只是研究代码，想看看有些代码怎么写的，没有用它这插件，我用C++的，这玩意儿也用不了。拉出来研究研究怎么实现还行

Jr丶新一 发表于 2020-9-30 17:29

在精益那边都说乐玩是有后门的你发现了吗

seazer 发表于 2020-9-30 19:17

乐玩编译，火绒报毒，按上面那个链接的方法删掉匿名资源_2文件，结果就编译错误，
所以希望大佬们能分享个不会报毒的乐玩模块，
祝热心大佬们父母身体健康。{:1_919:}

豆虫发表于 2020-9-30 23:01

类似hx.dll,什么调用呢？

Say 发表于 2020-10-14 19:06

感谢分享

freely随意 发表于 2020-10-15 05:36

豆虫发表于 2020-9-30 23:01
类似hx.dll,什么调用呢？

内存操作，找图，GDX后台找图用的

hushui1001 发表于 2020-11-14 14:20

先做个伸手党，留着以后再看了:lol:lol

chin0525 发表于 2020-12-6 23:12

感谢大老分享

页: [1] 2 3

吾爱破解 - 52pojie.cn's Archiver

反编译_乐玩模块8.17_2_(部分源码解密还原)