【D01E08】电子管 反破解教程之八【检测OD+SOD】
本帖最后由 dianziguan 于 2013-8-5 17:34 编辑源码非常简单
start:
invoke GetForegroundWindow
mov hnd1,eax
invokeGetWindowText,hnd1,ADDR regbuffer2,100
mov edx,dword ptr
xor edx,796c6c4fh ;olly
jz next_b1
mov edx,dword ptr
xor edx,6361694ah ;jiack
jnz next_a
next_b1:
invoke MessageBox,NULL,ADDR find_1,ADDR AppName,MB_OK
jmp next_b
next_a:
pusha
mov eax,0
xor edi,edi
PUSH EDI ; /hTemplateFile => NULL
PUSH 80h ; |Attributes = NORMAL
PUSH 3 ; |Mode = OPEN_EXISTING
PUSH EDI ; |pSecurity => NULL
PUSH 3 ; |ShareMode = FILE_SHARE_READ|FILE_SHARE_WRITE
PUSH 0C0000000h ; |Access = GENERIC_READ|GENERIC_WRITE
;PUSH offsetFileName ; |FileName = "\\.\fengyue0"
call aloc_1
db "\\.\fengyue0",0
aloc_1:
CALL CreateFileA ; \CreateFileA
CMP EAX,-1
JE aloc_2
PUSH EAX ; /hObject
CALL CloseHandle ; \CloseHandle
popa
invoke MessageBox,NULL,ADDR nof_1,ADDR AppName,MB_OK
invoke ExitProcess,eax
aloc_2:popa
通过窗口标题检测内存中的od,通过驱动的符号链接检测sod.
如果显示“xx没有发现od!",说明sod驱动已被发现,GAME Over了。请重新启动机器,或者卸载驱动后再调试。
出现注册成功才是全部过了检测。
http://www.52pojie.cn/forum.php?mod=viewthread&tid=208099&page=1#pid4175185 连sod都检测。玩不起这个 丨阿狸先生丨 发表于 2013-8-4 22:46 static/image/common/back.gif
连sod都检测。玩不起这个
汇编,明码,一目了然的。
这相当于汇编教程。
链接符号是死的...改下窗口标题就能过
希望来个更强的~ 以为anti有多强大原来还是差不多 这个汇编的教程未免也太少了点嘛,楼主多来点。 1354669803 发表于 2013-8-5 00:39
以为anti有多强大原来还是差不多
出现这个提示,意味着你的sod已经被发现了,你重新启动电脑才能再调试。全过了是提示注册成功。 a13686593572 发表于 2013-8-5 00:11 static/image/common/back.gif
链接符号是死的...改下窗口标题就能过
希望来个更强的~
如果显示“xx没有发现od!",说明sod驱动已被发现,GAME Over了。请重新启动机器,或者卸载驱动后再调试。
符号链接不是死的,是你的机器上运行过一次sod后,驱动已加载,只有重新启动才能接着玩。
alexjeniks 发表于 2013-8-5 00:50 static/image/common/back.gif
这个汇编的教程未免也太少了点嘛,楼主多来点。
等大家玩一阵子,我会开源的。源码是最好的教程。
dianziguan 发表于 2013-8-5 06:04 static/image/common/back.gif
出现这个提示,意味着你的sod已经被发现了,你重新启动电脑才能再调试。全过了是提示注册成功。
听楼主这么一说 倒是真心蛮强大 不过我已经过去了 原版即可秒杀