QX三国辅助去除自动发广告过程
本帖最后由 dad9 于 2014-4-14 22:56 编辑昨天表哥找我,说有一个游戏的脚本辅助DLL,挺好用,就是会在图里发频道消息宣传自己的脚本,希望我帮他修改掉,能不要发宣传消息.
就是这个TenSS.dll 类似于TP启动后会自动调用 直接替换掉原本的就能实现注入游戏,有一段时间DXF也是这样子注入的,师出同门,这个DLL也是某公司QX三国.首先我考虑这个DLL有没有加密,如果进行过加密操作.直接OD修改就不行,只能动态修改,查壳软件查一下
没壳的,OK直接拉进OD看一下,它进去频道开启功能后会发送 "爱三国...."OD里直接搜索
找不到发送的字符串 然后我 考虑是不是 通过网络获取的 开启 SRSniffer进行抓包
抓包显示 并不存在网络获取也就是说它的字符肯定在DLL中 但是找不到OK如果搜索字符串搜索不到 那么 先运行起来然后等 辅助界面出现
他会出现打开CE搜索器在游戏进程中 搜索 字符串"爱三国/23"
经过测试 显示是0BFB8DC8因为完整的字符串是/e 开始 所以 字符串起始地址是0BFB8DC0所以肯定有一个地址存放这个指针那么我们搜索0BFB8DC0
得到一个地址 ,也就是说 每次辅助 发送频道消息的时候肯定是访问了这个地址 那我们查找访问过该地址的内存 然后再次开启功能
拦截到一个地址 接下来我们OD 过去看看
也就是说这条访问了,那么假设 这个程序段 就是为了发送消息 那是不是直接retn掉 就可以 组织发消息 到程序断末尾 看到retn 8直接卸载程序开头
测试开启功能 已经不会再发送公屏消息.虽然没有搞懂 他是怎么躲过OD的字符串搜索 ,但是能实现功能就好了
谁知道这个辅助是什么隐藏字符串躲过OD的 ...by:sk
虽然不懂,但是帮顶 892644330 发表于 2014-4-16 10:26
lz你好 能发下程序看看嘛?
http://pan.baidu.com/s/1jGhwPYu 这是我修改后的 不是把 我的免费辅助 你也大费周章。。。 不懂 我都还没知道你修改他什么?????{:301_972:} Bad丶Boy 发表于 2014-4-20 13:32
不懂 我都还没知道你修改他什么?????
就是发送消息Call反回掉就行了 没有学习会,怎么脱壳呢
页:
[1]