反编译_乐玩模块8.17_2_(部分源码解密还原)

freely随意

本帖代码来源此地址：https://www.52pojie.cn/thread-1098608-1-1.html
在此感谢大佬分享出来的破解源码，读源码的时候发现原帖分享出来的代码很多匿名xxx，可读性不强，所以还原了部分代码，另外发现乐玩本身也有加密与压缩，因此还原了加密的字符串。
以下是原帖放出代码：

原帖的代码1

原帖的代码2

以下是还原后的代码：

还原后代码1

还原后代码2

说明：DLL文件可以不用下载，自己使用源码写个小程序解压出来看（源码中自带解压函数），因为本人需要乐玩部分功能，故解压出来使用，此代码只是部分还原（非全部还原）！
据原帖说有个火绒报毒的模块：hx.dll，导出函数如下：

序数   函数名                               地址          参数量  
------------------------------------------------------------------
1      Lw_GetUserFunction                   028E71B1      1      
2      lw_BaseNamedObjects                  028E708E      2      
3      lw_CallFunc                          028E6D35      6      
4      lw_CopyObj                           028E6F15      3      
5      lw_CreateMapping                     028E6E2E      3      
6      lw_CreateThread                      028E6D54      4      
7      lw_FindColorBlock                    028E71F9      14      
8      lw_FindMultiColor                    028E7116      21      
9      lw_FindMultiColorEx                  028E7135      21      
10     lw_FindMultiColorEx0                 028E7154      12      
11     lw_FreeLibrary                       028E6E7A      3      
12     lw_FreeLibrary_Memory                028E6EB8      3      
13     lw_GdiToDx                           028E6ED7      2      
14     lw_GetNtId                           028E7008      1      
15     lw_GetObjNameIdx                     028E6BD6      1      
16     lw_GetProcessPEB                     028E6C3D      3      
17     lw_GetWindowPic                      028E6EF6      10      
18     lw_HeapAlloc                         028E6C7B      1      
19     lw_HeapFree                          028E6C9A      1      
20     lw_HeapSize                          028E7173      1      
21     lw_InstallIMEA                       028E6DE4      2      
22     lw_IshProcessDebuggerPresent         028E6C1E      1      
23     lw_LoadLibraryA                      028E6D73      6      
24     lw_LoadLibraryA_Memory               028E6E99      6      
25     lw_MapView                           028E6F7C      1      
26     lw_OpenProcess                       028E7218      1      
27     lw_OpenThread                        028E6DC5      1      
28     lw_OpneMapping                       028E6F34      1      
29     lw_ReadMemory                        028E6B71      5      
30     lw_SendStringA                       028E6F9B      4      
31     lw_UnInstallIMEA                     028E7192      3      
32     lw_UnMapView                         028E6FE9      1      
33     lw_VirtualAlloc                      028E6CB9      3      
34     lw_VirtualAllocEx                    028E7050      3      
35     lw_VirtualFree                       028E6CD8      3      
36     lw_VirtualFreeEx                     028E706F      1      
37     lw_VirtualProtect                    028E6D16      5      
38     lw_VirtualQuery                      028E6CF7      4      
39     lw_WriteMemory                       028E6B90      5      
40     lw_findPic0                          028E70F7      12      
41     lw_getD3dHookAddr                    028E70D8      3      
42     lw_isProcessX64                      028E6C5C      1      

这个要是删了，整个模块也就废了，这易语言模块好多函数依赖于这个DLL，360直接查杀没发现毛病，估计运行起来一些HOOK可能会被报毒
附DLL文件说明：
ADB.dll （此DLL没搞明白，DLL说明没啥东西，导出函数没有，导入函数好几个ADB开头的，猜测可能是安卓ADB调试）
BeaEngine.dll 一个反汇编引擎（GitHUB上有源码）
DrvLnDll.dll 键盘鼠标驱动（DLL说明上有个链接，点进去是卖源码的，不知道是乐玩买的源码，还是乐玩的作者在卖源码）
gzip.dll gzip压缩的
hx.dll 找图，HOOK，内存相关 乐玩动态库
lock.dll 没搞明白，只有一个myMain导出函数，说明是windowlock（锁屏的？锁电脑的？）
SkinH.dll 这个玩意儿从XP时代到现在还在用，界面库
XEDParse.dll 汇编引擎




部分还原后的代码以及代码中的资源文件解压后的DLL（可以用DLLVIEW直接查看导出导入函数）：
反编译_乐玩模块8.17_2_部分代码还原.zip (1.94 MB, 下载次数: 1019)

2020-9-30 16:20 上传

点击文件名下载附件
部分代码还原

反编译_乐玩模块8.17_2_解压缩的DLL.zip (1.08 MB, 下载次数: 410)

2020-9-30 16:22 上传

点击文件名下载附件
解压缩后的DLL

freely随意

seazer 发表于 2020-9-30 19:17
乐玩编译，火绒报毒，按上面那个链接的方法删掉匿名资源_2文件，结果就编译错误，
所以希望大佬们能分享个 ...

他说的那个匿名资源_2文件就是我帖子里说的hx.dll了，就是乐玩插件的核心，删掉的话，这插件基本废了，不过看他导出的这些函数名，基本都是系统函数，估计是重定向函数，防止HOOK，可以用DLL函数代替，然后删掉代替不了的，就能用了，不过也没啥用处了，找图，找色，directHOOK都在这里边

freely随意

Jr丶新一 发表于 2020-9-30 17:29
在精益那边都说乐玩是有后门的 你发现了吗

我只是研究代码，想看看有些代码怎么写的，没有用它这插件，我用C++的，这玩意儿也用不了。拉出来研究研究怎么实现还行

Jr丶新一

在精益那边都说乐玩是有后门的 你发现了吗

seazer

乐玩编译，火绒报毒，按上面那个链接的方法删掉匿名资源_2文件，结果就编译错误，
所以希望大佬们能分享个不会报毒的乐玩模块，
祝热心大佬们父母身体健康。

豆虫

类似hx.dll,什么调用呢？

Say

感谢分享

freely随意

豆虫 发表于 2020-9-30 23:01
类似hx.dll,什么调用呢？

内存操作，找图，GDX后台找图用的

hushui1001

先做个伸手党，留着以后再看了

chin0525

感谢大老分享