TC官方合作论坛

标题: 二漠再次强力出击! 再次揭秘商业辅助功能 <突破游戏多开限制> ! 给不给力你说的算 . [打印本页]

---

作者: alukaduo09    时间: 2013-5-10 01:15
标题: 二漠再次强力出击! 再次揭秘商业辅助功能 <突破游戏多开限制> ! 给不给力你说的算 .
    此次带来的文章看标题应该很吸引人吧;
   如过我成功的将你吸引进来的话就回个帖子吧, 隐藏的内容保证不会让你失望.

   这也是TC众多精华索引教程与帖子中无法涉及的内容;

    二漠在此承诺 , 如果此文章回帖超过66帖那么下次我将带来更神奇的文章, 保证你大开眼界 .

   上帝创造了人类  ,人类创造了只会用0与1说话的电脑, 如果你没有搞定人类创造出的东西的话那就说明你没有努力过;


    正文开始 !  此次的游戏限制多开的方法是枚举进程, 并对比进程名 . 如果超过2个就禁止登陆游戏.  
我尝试了各种方法都依次失败. 其中有以下几种方法:
1.    隐藏游戏进程  
此方法可以登录游戏,但是遇到过图的情况下游戏会再次检测进程.  那么问题就来了. 我们的窗口进程被隐藏掉了. 游戏连自己的进程都检测不到, 游戏的开发者也想到了这一点, 专门对付网上流传广泛的进程隐藏工具. 如果游戏检测不到自己的进程就按照超过多开的判断, 强制退出客户端.

2.  修改启动文件的名字
如何修改进程名? 当然是要将启动文件的主EXE文件改名了 .修改后游戏连一个窗口都无法登陆, 看来开发者也想到了这一点.  通过这一点判定这游戏里面一定是存放了对比进程名的判定的常量.

3. 根据第2条反汇编逆向跟踪常量的对比处进行修改.
那么,开启OD开始找吧, 将所有有关进程的函数全部下了断点 ,并逐个函数一步一步的跟踪推敲数值的含义.  最后终于锁定了游戏的检测进程的函数. EnumProcesses  EnumProcessModules  GetModuleBaseNameA   我在这3个函数地方都下了断点, 然后看堆栈.结果呢?  用后面的一句话来形容我的心情 :    游戏被我调试的这么久都没崩溃, 我崩溃了.  堆栈没有半点调用内容提供参考. 看着EBP的值寻找回去上一步跳转调用过来的带码, 分析了一下, 这是标准的VMP加密过的. 胡乱的跳转胡乱的CALL 跟了几天也是毫无头绪 .

4. CE扫描对比的常量值进行修改
我是这样想的, 将游戏主程序改名成222.exe 然后下一个改名333.exe 然后修改它的常量值的对比, 经过测试之后将一百多个地址进行修改还是失败了.  看来这个常量也是被加密了.

5. 重新找突破口.
疯狂下断点, 只要关于窗口函数, 进程函数, 注册表函数 , 发包函数 ,加载文件函数通通的断下, 然后一行一行跟踪. 跟来跟去跟的自己头昏脑胀 .最后跟到关键地方一不小心有一个CALL没进去跟游戏就进行检测了. 就这样无数次的失败, 无数次的客户端崩溃让我信心全无. 最后转战新的突破思路.

6. 猜测游戏的进程名字的常量是否存放在别处
打开注册表搜索游戏客户端的名字, 因为我在OD里看见了每次检测的时候游戏都需要调用注册表之类的函数. 我将注册表里面符合客户端相关的注册表键值进行各种惨无人道的修改, 各种尝试.  不管怎么搞换来的最终结果都是游戏强制掉线或者崩溃.

7. 通过HOOK函数来修改最终的检测结果
因为VMP的缘故我遇到了很多很多技术上的问题. 而且被HOOK的函数因为字节比较少,跳转思路也是一次又一次的碰壁. 因为TC无法使用DLL注入, 很多带有结构体的windows函数无法使用. 我的思路彻底被堵死了.    我不得不重新尝试新的思路来实现我的目标.   

   现在对自己的屡遭碰壁的经历进行新的总结 .  这个看似简单的枚举进程的限制却有很完善的保护机制. 重新的百度一些关于windows的系统各种构造机制. 从共享内存空间着手也是没有突破多开限制思路.
搜索一些其他论坛上的教程也是无济于事, 那些教程都是构造很简单的游戏 ,根本就是借鉴不到任何有用的东西. 最后重新将思路锁定会最初期的上面第三条的的那3个函数. 最后我成功了! 详细过程见下文.
老规矩, 回复可见.




重新编辑一下错别字,  有两处将   双字  写成了   双字节      顺便给新人们重新说明一下       FF <一个  "字节">  FF FF<一个 "字">   FF FF FF FF <一个 "双字">

朋友们, 加油吧,  66 的回帖量不是很多吧.   下一次文章我已经有了目标.
在这里我预告一下 ,  下一次的内容将是很强的思路----------

<使用TC实现关闭远程线程的一个内核对象> 例子将使用"互斥体"来进行讲解.

---

作者: cylhb    时间: 2013-5-10 01:17
精品技术贴又来了,沙发立马坐上

---

作者: cylhb    时间: 2013-5-10 01:24
仔细看了一遍,发现技术没变,思路却是各种不同..当然,最重要还是那份功底..汇编,逆向....这才是令人蛋碎的地方

---

作者: jie820090428    时间: 2013-5-10 01:29
看看阿德

---

作者: mahua1130    时间: 2013-5-10 01:43
看到精彩片段 不得不回啊

---

作者: gdidf2010    时间: 2013-5-10 02:59
666666666666

---

作者: 可可    时间: 2013-5-10 03:08
楼主，你是大漠？

---

作者: 智盛辅助软件    时间: 2013-5-10 03:10
.

---

作者: 九先生    时间: 2013-5-10 06:16
kanyikan!

---

作者: chi98002    时间: 2013-5-10 06:51
看看骗术

---

作者: fightspirite    时间: 2013-5-10 07:16
好强大的帖子，受教了，谢谢

---

作者: shen36218010    时间: 2013-5-10 07:39
看看

---

作者: 187144831    时间: 2013-5-10 07:41
内存完全看不懂啊

---

作者: c724211922    时间: 2013-5-10 07:48
学习一下

---

作者: c724211922    时间: 2013-5-10 07:52
看完了支持下二漠

---

作者: fire    时间: 2013-5-10 07:54
必须看看了

---

作者: wavelife    时间: 2013-5-10 08:53
技术强人

---

作者: 幼园留级老油条    时间: 2013-5-10 08:57
sdfsdf

---

作者: 舍我其谁    时间: 2013-5-10 08:58
看看............

---

作者: 冷月无痕    时间: 2013-5-10 09:04
虽然看不懂，但是感觉很强大的样子

---

作者: sunshuwei1613    时间: 2013-5-10 09:08
看看

---

作者: 超自然    时间: 2013-5-10 09:36
强人来袭,学习了

---

作者: 380616405    时间: 2013-5-10 09:45
学习

---

作者: windforce    时间: 2013-5-10 09:51
好东西 慢慢看

---

作者: Abin    时间: 2013-5-10 09:52
强力的技术贴啊。 必须顶起。。。

---

作者: jimye0526    时间: 2013-5-10 10:38
牛贴 必须顶

---

作者: 332475520    时间: 2013-5-10 10:46
好贴  这样的贴应该顶起

---

作者: 455720650    时间: 2013-5-10 10:50
支持  支持

---

作者: smg    时间: 2013-5-10 11:49
dddddddddddddddddddddddddddd

---

作者: Sky_Pro    时间: 2013-5-10 12:07
顶你！！！

---

作者: 1021200169    时间: 2013-5-10 12:20
此帖牛

---

作者: yinsihai    时间: 2013-5-10 12:55
精品贴，学习下

---

作者: jim19929141    时间: 2013-5-10 13:22
aaaaa

---

作者: a8461959    时间: 2013-5-10 14:24
汇编,逆向....这才是令人蛋碎的地方

---

作者: 梧桐树下雨    时间: 2013-5-10 15:02
看看

---

作者: dhxyyzz    时间: 2013-5-10 15:05
精品技术贴又来了

---

作者: lzq5628989    时间: 2013-5-10 15:17
xuexi

---

作者: boards77    时间: 2013-5-10 15:35
看一下先，汇编逆向这种活。。。。

---

作者: jianqiumy    时间: 2013-5-10 15:36
这个得支持~~~牛人

---

作者: lzq5628989    时间: 2013-5-10 15:38
必须顶

---

作者: zhubajie918    时间: 2013-5-10 15:55
速度顶起

---

作者: gamepkpk    时间: 2013-5-10 16:09

---

作者: 88979825    时间: 2013-5-10 17:54
看看 -  -

---

作者: teacher198    时间: 2013-5-11 08:10
1111111111111111111111111

---

作者: 455720650    时间: 2013-5-11 09:01
TC有你更精彩 期待

---

作者: 879036969    时间: 2013-5-11 09:29
.........................................................

---

作者: heeman    时间: 2013-5-11 09:48
还是那句，比XX导师强多了

---

作者: tlx0335    时间: 2013-5-11 09:55
学习学习

---

作者: ctvftv    时间: 2013-5-11 11:27
好东西看看

---

作者: whoyeyang    时间: 2013-5-11 11:52
厉害，顶上去

---

作者: 如此美丽。    时间: 2013-5-11 13:12
一直都是霸气外漏

---

作者: qq2901qq    时间: 2013-5-11 13:51
11111111111111

---

作者: pigedong    时间: 2013-5-11 14:24
真的把我吸引来了

---

作者: rggt1234    时间: 2013-5-11 14:29
几乎和改革

---

作者: inat    时间: 2013-5-11 17:48
二漠,这名字不错..

---

作者: liyuncen    时间: 2013-5-11 17:51
好东西啊

---

作者: milai5201    时间: 2013-5-11 18:28
赞一个！

---

作者: zhubajie918    时间: 2013-5-11 19:56
赞一个

---

作者: 王者归来    时间: 2013-5-11 20:48
1111111111111111111111

---

作者: moonvshell    时间: 2013-5-11 20:58
谢谢分享哦~~

---

作者: qq16007957    时间: 2013-5-11 21:13
这个很好，真想一窥究竟

---

作者: zhmap    时间: 2013-5-11 22:00
支持分享,学习学习

---

作者: jsdai    时间: 2013-5-11 22:20
这个支持呀

---

作者: 445269942    时间: 2013-5-12 03:15
00000000000000

---

作者: 雨过天青    时间: 2013-5-12 09:42
继续顶

---

作者: moonxgz    时间: 2013-5-12 11:37
看看学习 虽然可能看不懂

---

作者: Hijack    时间: 2013-5-12 12:00
到底是什么东东

---

作者: 野猪    时间: 2013-5-12 17:16
顶一个

---

作者: warcraftii    时间: 2013-5-12 17:18
新说明一下       FF <一个  "字节">  FF FF<一个 "字">   FF FF FF FF <一个 "双字">

朋友们, 加油吧,  66 的回帖量不是很多吧.   下一次文章我已经有了目标.
在这里我预告一下 ,  下一次

---

作者: 野猪    时间: 2013-5-12 17:32
非常给力 楼主汇编挺牛逼的 前面的保存寄存器 这里貌似可以用push来保存
MOV [F006E0],EAX
MOV [F006D0],ECX
MOV [F006C0],EDX
============邪恶分割线=============
MOV EAX,[F006E0]   
MOV ECX,[F006D0]
MOV EDX,[F006C0]         

应该可以改成
push eax
push ecx
push edx
============邪恶分割线=============
pop eax
pop ecx
pop edx

我是一只小小小小鸟！莫要见笑

---

作者: alukaduo09    时间: 2013-5-12 17:43
回复 70楼野猪的帖子

没错,你的方法是可以的, 而且比我的更好.   当时我写的时候没有考虑过多.但是你弹栈顺序错了

---

作者: gzh00007    时间: 2013-5-12 18:03
神贴啊

---

作者: jjy7pspsjl    时间: 2013-5-12 21:36
看看 有骗子不

---

作者: dshp4050    时间: 2013-5-12 21:53
这个必须顶

---

作者: gaoyunxia    时间: 2013-5-12 21:59
必须顶啊我

---

作者: coolook    时间: 2013-5-12 22:03
很厉害，学习学习

---

作者: yahosf    时间: 2013-5-12 23:40
一定要看 谢谢啊

---

作者: msyycb    时间: 2013-5-12 23:48
必须支持!

---

作者: jiangchencong    时间: 2013-5-13 01:29
学习下

---

作者: 天空之城    时间: 2013-5-13 05:00
kankan

---

作者: bafengao    时间: 2013-5-13 06:02
积极回帖好好学习

---

作者: 285419930    时间: 2013-5-13 09:38
楼主。你是大神？

---

作者: ysf1258648    时间: 2013-5-13 14:54
没怎么太看懂，太有含量了

---

作者: mxyyfl    时间: 2013-5-13 15:36
看看你啊念

---

作者: s58136698    时间: 2013-5-13 17:35
精品技术贴又来了,沙发立马坐上

---

作者: 日大侠    时间: 2013-5-13 18:44
看看  是什么东东

---

作者: sand007127    时间: 2013-5-13 19:47
回复 1楼alukaduo09的帖子

给力 的   孩子···

---

作者: qwlyfsa    时间: 2013-5-13 22:13
不得不回，这胃口掉的。

---

作者: yongasd001    时间: 2013-5-14 07:54
来研究一下

---

作者: anyetiangong    时间: 2013-5-14 10:55
kanyikan!

---

作者: xie512    时间: 2013-5-14 12:19
精品技术贴

---

作者: okc1    时间: 2013-5-14 16:08
围观

---

作者: cao123451    时间: 2013-5-14 21:22
回复 1楼alukaduo09的帖子

轻轻轻轻轻轻轻轻轻轻轻轻轻轻

---

作者: yjbdmcx    时间: 2013-5-14 21:34
羡慕嫉妒恨自己

---

作者: darling    时间: 2013-5-15 13:07
不错啊，破多开的教程贴

---

作者: 1378564989    时间: 2013-5-15 17:53
! 给不给力你说的算 .

---

作者: 736360808    时间: 2013-5-15 22:14
aaaaaaaaaaaaaaaaaaaaaaaa

---

作者: die13719076310    时间: 2013-5-15 23:19
111111111111

---

作者: zx202zx1    时间: 2013-5-16 01:59
kk

---

作者: aiwuyu1975    时间: 2013-5-16 02:54
再次揭秘商业辅助功能

---

欢迎光临 TC官方合作论坛 (http://bbs.52tc.co/)

Powered by Discuz! X3.1