[求助]一个游戏的启动方式--费解-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (16)
LeoSky 雪币： 18 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 68 粉丝 0 关注私信	LeoSky 2 楼 1.A中没有，那W中呢？（ShellExecuteEx有没有试试？也可以试试CreateProcessAsUser 不过一般不会用） 2.是不是拷贝了 Kernel32.dll 或者 Advapi32.dll 又或者 shell32.dll 等方法。 3.还有一种可能就是拷贝了 CreateProcess 前N个字节执行然后跳转到 CreateProcess+N的位置执行。仅供参考。 2013-12-11 13:41 0
小龙飞雪币： 255 活跃值： (207) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 41 粉丝 0 关注私信	小龙飞 3 楼不会是圣王吧? 2013-12-11 14:08 0
MarvelStu 雪币： 19 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	MarvelStu 4 楼共享内存，启动以后在共享内存读参数！ 2013-12-11 16:21 0
topofall 雪币： 124 活跃值： (469) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 5 楼也有可能是load and run 2013-12-11 18:22 0
潇遥子枫雪币： 7 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 45 粉丝 0 关注私信	潇遥子枫 6 楼建议在CreateProcessA/W的retn部分下断点。 2013-12-11 22:58 0
zsmj 雪币： 274 活跃值： (30) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 54 粉丝 1 关注私信	zsmj 7 楼下了也没用。。。现在不在启动方式，，主要是多开不了。。。 2013-12-12 09:31 0
希哥雪币： 612 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 114 粉丝 0 关注私信	希哥 8 楼软件发出来看看 2013-12-12 09:34 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 9 楼 CreateProcessAsUser 还有这些函数~~~ chrome 就用的这货。直接在createprocess 是断不下来的。 2013-12-12 09:36 0
zsmj 雪币： 274 活跃值： (30) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 54 粉丝 1 关注私信	zsmj 10 楼此函数也不断。。。很费解呀 2013-12-12 16:24 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 11 楼把进程A拉到IDA里面去，看他用了哪些API，分析一下，看有没有开启进程相关的。。。 2013-12-12 17:00 0
zsmj 雪币： 274 活跃值： (30) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 54 粉丝 1 关注私信	zsmj 12 楼游戏程序vm掉了放到od里面看游戏用到的api也没见他有开启进程相关的函数，有几个也不是启动游戏进程的 2013-12-12 19:23 0
SIsIa 雪币： 270 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 215 粉丝 0 关注私信	SIsIa 13 楼 CreateProcessInternalW 2013-12-13 17:09 0
西班牙雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	西班牙 14 楼楼上 +1 2013-12-13 18:30 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 15 楼还有可能更新只做更新事，登陆程序没退出，通知登陆程序启动的 2013-12-14 10:31 0
SupRole 雪币： 148 活跃值： (59) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 118 粉丝 3 关注私信	SupRole 16 楼所有上层代码都可以绕过，直接sysenter、用驱动直接调用NtCreateProcess都可以断r0的关键API看看吧 2013-12-15 18:54 0
我是菜鸟！雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 13 粉丝 0 关注私信	我是菜鸟！ 17 楼游戏的保护应该都强的很吧？ 2013-12-15 20:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (16)
LeoSky 雪币： 18 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 68 粉丝 0 关注私信	LeoSky 2 楼 1.A中没有，那W中呢？（ShellExecuteEx有没有试试？也可以试试CreateProcessAsUser 不过一般不会用） 2.是不是拷贝了 Kernel32.dll 或者 Advapi32.dll 又或者 shell32.dll 等方法。 3.还有一种可能就是拷贝了 CreateProcess 前N个字节执行然后跳转到 CreateProcess+N的位置执行。仅供参考。 2013-12-11 13:41 0
小龙飞雪币： 255 活跃值： (207) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 41 粉丝 0 关注私信	小龙飞 3 楼不会是圣王吧? 2013-12-11 14:08 0
MarvelStu 雪币： 19 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	MarvelStu 4 楼共享内存，启动以后在共享内存读参数！ 2013-12-11 16:21 0
topofall 雪币： 124 活跃值： (469) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 5 楼也有可能是load and run 2013-12-11 18:22 0
潇遥子枫雪币： 7 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 45 粉丝 0 关注私信	潇遥子枫 6 楼建议在CreateProcessA/W的retn部分下断点。 2013-12-11 22:58 0
zsmj 雪币： 274 活跃值： (30) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 54 粉丝 1 关注私信	zsmj 7 楼下了也没用。。。现在不在启动方式，，主要是多开不了。。。 2013-12-12 09:31 0
希哥雪币： 612 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 114 粉丝 0 关注私信	希哥 8 楼软件发出来看看 2013-12-12 09:34 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 9 楼 CreateProcessAsUser 还有这些函数~~~ chrome 就用的这货。直接在createprocess 是断不下来的。 2013-12-12 09:36 0
zsmj 雪币： 274 活跃值： (30) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 54 粉丝 1 关注私信	zsmj 10 楼此函数也不断。。。很费解呀 2013-12-12 16:24 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 11 楼把进程A拉到IDA里面去，看他用了哪些API，分析一下，看有没有开启进程相关的。。。 2013-12-12 17:00 0
zsmj 雪币： 274 活跃值： (30) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 54 粉丝 1 关注私信	zsmj 12 楼游戏程序vm掉了放到od里面看游戏用到的api也没见他有开启进程相关的函数，有几个也不是启动游戏进程的 2013-12-12 19:23 0
SIsIa 雪币： 270 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 215 粉丝 0 关注私信	SIsIa 13 楼 CreateProcessInternalW 2013-12-13 17:09 0
西班牙雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	西班牙 14 楼楼上 +1 2013-12-13 18:30 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 15 楼还有可能更新只做更新事，登陆程序没退出，通知登陆程序启动的 2013-12-14 10:31 0
SupRole 雪币： 148 活跃值： (59) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 118 粉丝 3 关注私信	SupRole 16 楼所有上层代码都可以绕过，直接sysenter、用驱动直接调用NtCreateProcess都可以断r0的关键API看看吧 2013-12-15 18:54 0
我是菜鸟！雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 13 粉丝 0 关注私信	我是菜鸟！ 17 楼游戏的保护应该都强的很吧？ 2013-12-15 20:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复