某游戏的反外挂新招
最初由 bird 发布
这个两个DLL 保护输入的密码!nop掉就可以了...不是什么新技术
更新后YB_TEST变成YB_MEM了.这是YB_MEM.DLL的一段代码:
120035B1 |> 8B7424 40 mov esi,dword ptr ss:[esp+40] ; Case 5 of switch 12003508
120035B5 |. 68 D0150112 push yb_mem.120115D0 ; ASCII "CMD_SCRIPT"
120035BA |. 8BCE mov ecx,esi
120035BC |. E8 EFF2FFFF call yb_mem.120028B0
120035C1 |. 897C24 0C mov dword ptr ss:[esp+C],edi
120035C5 |. 885C24 38 mov byte ptr ss:[esp+38],bl
120035C9 |. 8D4C24 10 lea ecx,dword ptr ss:[esp+10]
120035CD |. E8 AEE4FFFF call yb_mem.12001A80
120035D2 |. E9 04010000 jmp yb_mem.120036DB
120035D7 |> 8B7424 40 mov esi,dword ptr ss:[esp+40] ; Case 6 of switch 12003508
120035DB |. 68 C0150112 push yb_mem.120115C0 ; ASCII "CMD_SCRIPT_RSP"
120035E0 |. 8BCE mov ecx,esi
120035E2 |. E8 C9F2FFFF call yb_mem.120028B0
120035E7 |. 897C24 0C mov dword ptr ss:[esp+C],edi
120035EB |. 885C24 38 mov byte ptr ss:[esp+38],bl
120035EF |. 8D4C24 10 lea ecx,dword ptr ss:[esp+10]
120035F3 |. E8 88E4FFFF call yb_mem.12001A80
120035F8 |. E9 DE000000 jmp yb_mem.120036DB
每隔2/3分钟这个模块以UDP方式连接125.76.240.71,可以下载PYTHON命令执行扫描客户机所有进程的内存,如果有不法分子伪造服务器地址的话...