首页
社区
课程
招聘
[原创]我也讨论下“奕奕” 平台,全图使用~[连载]
发表于: 2014-4-4 13:34 17066

[原创]我也讨论下“奕奕” 平台,全图使用~[连载]

2014-4-4 13:34
17066
收藏
免费 0
支持
分享
最新回复 (46)
雪    币: 7
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
26
你可以分享一下,不分享也可以一起讨论我的思路,我比较菜
2014-4-4 21:23
0
雪    币: 5
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
27
其实我挺想分享的,但主要是还要自己用,每周都还要玩几盘,所以暂时不公开了,我基本还是在线程层面来处理的。
2014-4-4 21:34
0
雪    币: 7
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
28
.................
2014-4-4 21:43
0
雪    币: 7
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
29
大大,现在好象有一款辅助是直接废了11的检测
2014-4-8 08:39
0
雪    币: 177
活跃值: (278)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
30
不用了,我看了下,完全没碰到边的分析。
2014-4-8 09:01
0
雪    币: 7
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
31
我也是学习,学习,不是很懂,不过这么弄出来全图,却是可以用了。
2014-4-9 07:17
0
雪    币: 135
活跃值: (63)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
32
学习一下重载ntdll要hook哪里,我代码写得少技术很菜。
昨天晚上看了一下KiUserExceptionDispatcher,那个被hook的call里面(23楼贴的),就是不停的让DbgkSsReserved[0]或者连带[1]的内容不停的+1,问题是被断下来的线程是war3的线程,这个数组是调试器线程保存被调试线程链表和DebugObject的,跳进去的call还不返回,一直加1,不知道有什么用,最后魔兽就退出了,看堆栈也不知道什么原因退出的。
早上刚刚看了一下wrk,lz r0的hook,是不是判断下进程名字,然后hook KiDispatchException设置的TrapFrame的eip的位置,
                TrapFrame->Eip = (ULONG)KeUserExceptionDispatcher;
                return;

重载的dll函数怎么找还不会。。。。
另外有2个问题就是,在调试器里面对r3的KeUserExceptionDispatcher 下断点不会无限的停下来,感觉不会吧,这个函数是在调试器不处理int 3才会被调用,不知道到底会不会。
还有我f9之后,war3就没了,f9之前对KeUserExceptionDispatcher 下内存断点或者硬件访问断点,都断不下来,那他怎么弄的crc校验,最主要不知道是什么原因war3就退出了。
lz的方法是不是,以前有大牛说过的,用VEH配合硬件断点,修改game.dll的2个地方。但是为了躲开检查,就换用一个KeUserExceptionDispatcher 和hook GetThreadContext。
2014-4-9 09:52
0
雪    币: 7
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
33
.............
2014-4-9 21:28
0
雪    币: 7465
活跃值: (4196)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
34
我在11用的是自己写的小地图全图,就是那种在小地图上显示英雄名字 血量 等级和光圈,直接调用JASS里的NATIVEAPI就可以了,不需要分析过平台,而且这种方法是所有平台通杀。
2014-4-10 22:20
0
雪    币: 7
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
35
这种方法就是特征会被查,其它貌似11也束手无策
2014-4-10 23:23
0
雪    币: 7
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
36
犀利,堆栈回溯,不能发现call 的来源非法么。。
2014-4-11 07:18
0
雪    币: 7
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
37
请教一下,特征是什么意思,小弟菜鸟
2014-4-11 07:26
0
雪    币: 7465
活跃值: (4196)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
38
理论上可以通过堆栈找出CALL的返回地址不在Game.dll里的就可以判定是非法调用,只不过就我所知不管是11平台还是VS或者HF都没有HOOK这些JASS里的原生API,所以目前通杀国内的平台是妥妥的。 另外如果只是要在小地图画点显示对面英雄玩家的位置的话是不需要调用CALL的,直接找到英雄链表然后修改数据段就可以了。
2014-4-11 09:02
0
雪    币: 7465
活跃值: (4196)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
39
他的意思应该是说辅助的特征码吧,如果原理平台不好检测的话就直接从外面流传的辅助样本上提取几段特征码,以后发现魔兽里的模块符如果含有符合的特征码后就可以判定使用外挂了,和以前杀毒软件靠特征码找病毒差不多的意思
2014-4-11 09:05
0
雪    币: 7
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
40
你说的,我想了下,但是 模块基本都是被 摘链隐藏的啊,没什么特征
我个人感觉是操作特征,,会不会是 比如鼠标 多次选中迷雾某处,而某处正好有人。。
2014-4-11 12:02
0
雪    币: 3
活跃值: (18)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
41
楼主这种方法是大地图+小地图+神F提示都没问题的么
2014-4-11 16:38
0
雪    币: 7465
活跃值: (4196)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
42
脱不脱链隐藏DLL都没用,以前做大地图的时候重载GAMEDLL,我试过脱链,一样被检测。11直接内存暴力搜索特征码,不会指定在哪个模块里面搜索,脱不脱都没用。
2014-4-11 18:13
0
雪    币: 16
活跃值: (72)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
43
那么像这种被特征了。怎么解决呢。无法知道哪儿被特征了
2014-4-11 21:07
0
雪    币: 7
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
44
可以动态加花,不过麻烦了点
2014-5-26 21:04
0
雪    币: 13
活跃值: (26)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
45
如果找到链表的数据段? 获取英雄位置还是要HOOK的
2014-10-28 01:51
0
雪    币: 13
活跃值: (26)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
46
大大,现在11似乎修改了英雄链表不知道有解决办法没
2014-10-31 17:40
0
雪    币: 5
活跃值: (531)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
47
请问下,什么叫内存暴力搜索特征吗?要取得代码或数据的话不都得先获得指定模块么?
2014-12-23 13:49
0
游客
登录 | 注册 方可回帖
返回
//