能力值:
( LV2,RANK:10 )
|
-
-
2 楼
1.A中没有,那W中呢? (ShellExecuteEx有没有试试? 也可以试试CreateProcessAsUser 不过一般不会用)
2.是不是 拷贝了 Kernel32.dll 或者 Advapi32.dll 又或者 shell32.dll 等方法。
3.还有一种可能就是 拷贝了 CreateProcess 前N个字节执行 然后跳转到 CreateProcess+N的位置执行。
仅供参考。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
不会是圣王吧?
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
共享内存,启动以后在共享内存读参数!
|
能力值:
( LV4,RANK:50 )
|
-
-
5 楼
也有可能是load and run
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
建议在CreateProcessA/W的retn部分下断点。
|
能力值:
( LV3,RANK:30 )
|
-
-
7 楼
下了 也没用。。。现在不在启动方式,,主要是多开不了。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
软件发出来看看
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
CreateProcessAsUser 还有这些函数~~~ chrome 就用的这货。 直接在createprocess 是断不下来的。
|
能力值:
( LV3,RANK:30 )
|
-
-
10 楼
此函数也不断。。。很费解呀
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
把进程A拉到IDA里面去,看他用了哪些API,分析一下,看有没有开启进程相关的。 。。
|
能力值:
( LV3,RANK:30 )
|
-
-
12 楼
游戏程序vm掉了 放到od里面 看游戏用到的api也没见他有开启进程相关的函数 ,有几个也不是启动游戏进程的
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
CreateProcessInternalW
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
楼上 +1
|
能力值:
(RANK:170 )
|
-
-
15 楼
还有可能更新只做更新事,登陆程序没退出,通知登陆程序启动的
|
能力值:
( LV3,RANK:30 )
|
-
-
16 楼
所有上层代码都可以绕过,直接sysenter、用驱动直接调用NtCreateProcess都可以
断r0的关键API看看吧
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
游戏的保护应该都强的很吧?
|
|
|