[原创]我也讨论下“奕奕” 平台,全图使用~[连载]-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]我也讨论下“奕奕” 平台,全图使用~[连载]

2014-4-4 13:34 16425

[原创]我也讨论下“奕奕” 平台,全图使用~[连载]

专业黑子

2014-4-4 13:34

16425

查看主题内容

收藏・7

点赞・0

打赏

最新回复 (46) ◀ 1 2
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 2014-4-4 21:23 26 楼 0 你可以分享一下，不分享也可以一起讨论我的思路，我比较菜
msfac 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 18 粉丝 0 关注私信	msfac 2014-4-4 21:34 27 楼 0 其实我挺想分享的，但主要是还要自己用，每周都还要玩几盘，所以暂时不公开了，我基本还是在线程层面来处理的。
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 2014-4-4 21:43 28 楼 0 .................
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 179 粉丝 0 关注私信	装逼兄 2014-4-8 08:39 29 楼 0 大大，现在好象有一款辅助是直接废了11的检测
天堂猪雪币： 177 活跃值： (278) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 96 粉丝 0 关注私信	天堂猪 2014-4-8 09:01 30 楼 0 不用了，我看了下，完全没碰到边的分析。
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 2014-4-9 07:17 31 楼 0 我也是学习，学习，不是很懂，不过这么弄出来全图，却是可以用了。
fatecaster 雪币： 135 活跃值： (64) 能力值： ( LV5，RANK：60 ) 在线值：发帖 39 回帖 315 粉丝 0 关注私信	fatecaster 1 2014-4-9 09:52 32 楼 0 学习一下重载ntdll要hook哪里，我代码写得少技术很菜。昨天晚上看了一下KiUserExceptionDispatcher，那个被hook的call里面（23楼贴的），就是不停的让DbgkSsReserved[0]或者连带[1]的内容不停的+1，问题是被断下来的线程是war3的线程，这个数组是调试器线程保存被调试线程链表和DebugObject的，跳进去的call还不返回，一直加1，不知道有什么用，最后魔兽就退出了，看堆栈也不知道什么原因退出的。早上刚刚看了一下wrk，lz r0的hook，是不是判断下进程名字，然后hook KiDispatchException设置的TrapFrame的eip的位置， TrapFrame->Eip = (ULONG)KeUserExceptionDispatcher; return; 重载的dll函数怎么找还不会。。。。另外有2个问题就是，在调试器里面对r3的KeUserExceptionDispatcher 下断点不会无限的停下来，感觉不会吧，这个函数是在调试器不处理int 3才会被调用，不知道到底会不会。还有我f9之后，war3就没了，f9之前对KeUserExceptionDispatcher 下内存断点或者硬件访问断点，都断不下来，那他怎么弄的crc校验，最主要不知道是什么原因war3就退出了。 lz的方法是不是，以前有大牛说过的，用VEH配合硬件断点，修改game.dll的2个地方。但是为了躲开检查，就换用一个KeUserExceptionDispatcher 和hook GetThreadContext。
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 2014-4-9 21:28 33 楼 0 .............
htpidk 雪币： 6701 活跃值： (3330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 281 粉丝 1 关注私信	htpidk 2014-4-10 22:20 34 楼 0 我在11用的是自己写的小地图全图，就是那种在小地图上显示英雄名字血量等级和光圈，直接调用JASS里的NATIVEAPI就可以了，不需要分析过平台，而且这种方法是所有平台通杀。
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 179 粉丝 0 关注私信	装逼兄 2014-4-10 23:23 35 楼 0 这种方法就是特征会被查，其它貌似11也束手无策
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 2014-4-11 07:18 36 楼 0 犀利，堆栈回溯，不能发现call 的来源非法么。。
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 2014-4-11 07:26 37 楼 0 请教一下，特征是什么意思，小弟菜鸟
htpidk 雪币： 6701 活跃值： (3330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 281 粉丝 1 关注私信	htpidk 2014-4-11 09:02 38 楼 0 理论上可以通过堆栈找出CALL的返回地址不在Game.dll里的就可以判定是非法调用，只不过就我所知不管是11平台还是VS或者HF都没有HOOK这些JASS里的原生API，所以目前通杀国内的平台是妥妥的。另外如果只是要在小地图画点显示对面英雄玩家的位置的话是不需要调用CALL的，直接找到英雄链表然后修改数据段就可以了。
htpidk 雪币： 6701 活跃值： (3330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 281 粉丝 1 关注私信	htpidk 2014-4-11 09:05 39 楼 0 他的意思应该是说辅助的特征码吧，如果原理平台不好检测的话就直接从外面流传的辅助样本上提取几段特征码，以后发现魔兽里的模块符如果含有符合的特征码后就可以判定使用外挂了，和以前杀毒软件靠特征码找病毒差不多的意思
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 2014-4-11 12:02 40 楼 0 你说的，我想了下，但是模块基本都是被摘链隐藏的啊，没什么特征我个人感觉是操作特征，，会不会是比如鼠标多次选中迷雾某处，而某处正好有人。。
注册章雪币： 3 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	注册章 2014-4-11 16:38 41 楼 0 楼主这种方法是大地图+小地图+神F提示都没问题的么
htpidk 雪币： 6701 活跃值： (3330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 281 粉丝 1 关注私信	htpidk 2014-4-11 18:13 42 楼 0 脱不脱链隐藏DLL都没用，以前做大地图的时候重载GAMEDLL，我试过脱链，一样被检测。11直接内存暴力搜索特征码，不会指定在哪个模块里面搜索，脱不脱都没用。
顺lee 雪币： 16 活跃值： (72) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 13 粉丝 0 关注私信	顺lee 2014-4-11 21:07 43 楼 0 那么像这种被特征了。怎么解决呢。无法知道哪儿被特征了
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 179 粉丝 0 关注私信	装逼兄 2014-5-26 21:04 44 楼 0 可以动态加花，不过麻烦了点
ruoe 雪币： 13 活跃值： (26) 能力值： (RANK：10 ) 在线值：发帖 73 回帖 197 粉丝 1 关注私信	ruoe 2014-10-28 01:51 45 楼 0 如果找到链表的数据段？获取英雄位置还是要HOOK的
ruoe 雪币： 13 活跃值： (26) 能力值： (RANK：10 ) 在线值：发帖 73 回帖 197 粉丝 1 关注私信	ruoe 2014-10-31 17:40 46 楼 0 大大，现在11似乎修改了英雄链表不知道有解决办法没
鸡蛋面雪币： 5 活跃值： (366) 能力值： ( LV3，RANK：20 ) 在线值：发帖 54 回帖 152 粉丝 5 关注私信	鸡蛋面 2014-12-23 13:49 47 楼 0 请问下，什么叫内存暴力搜索特征吗？要取得代码或数据的话不都得先获得指定模块么？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

专业黑子

发帖

109

回帖

RANK

关注

私信

他的文章

[求助]OpenProcess 返回 5，没有找到任何钩子。。。

[讨论]Ring3 异常分发的奇怪现象~~大神帮忙看下

[求助]ZwQuerySystemInformation 暴力遍历DLL，R3有什么对抗的方式吗

[求助]x64下安装全局钩子~

[求助]x64中，注册表注入键值还有效果么？

关于我们

联系我们

企业服务

看雪公众号

最新回复 (46) ◀ 1 2
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 2014-4-4 21:23 26 楼 0 你可以分享一下，不分享也可以一起讨论我的思路，我比较菜
msfac 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 18 粉丝 0 关注私信	msfac 2014-4-4 21:34 27 楼 0 其实我挺想分享的，但主要是还要自己用，每周都还要玩几盘，所以暂时不公开了，我基本还是在线程层面来处理的。
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 2014-4-4 21:43 28 楼 0 .................
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 179 粉丝 0 关注私信	装逼兄 2014-4-8 08:39 29 楼 0 大大，现在好象有一款辅助是直接废了11的检测
天堂猪雪币： 177 活跃值： (278) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 96 粉丝 0 关注私信	天堂猪 2014-4-8 09:01 30 楼 0 不用了，我看了下，完全没碰到边的分析。
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 2014-4-9 07:17 31 楼 0 我也是学习，学习，不是很懂，不过这么弄出来全图，却是可以用了。
fatecaster 雪币： 135 活跃值： (64) 能力值： ( LV5，RANK：60 ) 在线值：发帖 39 回帖 315 粉丝 0 关注私信	fatecaster 1 2014-4-9 09:52 32 楼 0 学习一下重载ntdll要hook哪里，我代码写得少技术很菜。昨天晚上看了一下KiUserExceptionDispatcher，那个被hook的call里面（23楼贴的），就是不停的让DbgkSsReserved[0]或者连带[1]的内容不停的+1，问题是被断下来的线程是war3的线程，这个数组是调试器线程保存被调试线程链表和DebugObject的，跳进去的call还不返回，一直加1，不知道有什么用，最后魔兽就退出了，看堆栈也不知道什么原因退出的。早上刚刚看了一下wrk，lz r0的hook，是不是判断下进程名字，然后hook KiDispatchException设置的TrapFrame的eip的位置， TrapFrame->Eip = (ULONG)KeUserExceptionDispatcher; return; 重载的dll函数怎么找还不会。。。。另外有2个问题就是，在调试器里面对r3的KeUserExceptionDispatcher 下断点不会无限的停下来，感觉不会吧，这个函数是在调试器不处理int 3才会被调用，不知道到底会不会。还有我f9之后，war3就没了，f9之前对KeUserExceptionDispatcher 下内存断点或者硬件访问断点，都断不下来，那他怎么弄的crc校验，最主要不知道是什么原因war3就退出了。 lz的方法是不是，以前有大牛说过的，用VEH配合硬件断点，修改game.dll的2个地方。但是为了躲开检查，就换用一个KeUserExceptionDispatcher 和hook GetThreadContext。
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 2014-4-9 21:28 33 楼 0 .............
htpidk 雪币： 6701 活跃值： (3330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 281 粉丝 1 关注私信	htpidk 2014-4-10 22:20 34 楼 0 我在11用的是自己写的小地图全图，就是那种在小地图上显示英雄名字血量等级和光圈，直接调用JASS里的NATIVEAPI就可以了，不需要分析过平台，而且这种方法是所有平台通杀。
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 179 粉丝 0 关注私信	装逼兄 2014-4-10 23:23 35 楼 0 这种方法就是特征会被查，其它貌似11也束手无策
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 2014-4-11 07:18 36 楼 0 犀利，堆栈回溯，不能发现call 的来源非法么。。
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 2014-4-11 07:26 37 楼 0 请教一下，特征是什么意思，小弟菜鸟
htpidk 雪币： 6701 活跃值： (3330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 281 粉丝 1 关注私信	htpidk 2014-4-11 09:02 38 楼 0 理论上可以通过堆栈找出CALL的返回地址不在Game.dll里的就可以判定是非法调用，只不过就我所知不管是11平台还是VS或者HF都没有HOOK这些JASS里的原生API，所以目前通杀国内的平台是妥妥的。另外如果只是要在小地图画点显示对面英雄玩家的位置的话是不需要调用CALL的，直接找到英雄链表然后修改数据段就可以了。
htpidk 雪币： 6701 活跃值： (3330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 281 粉丝 1 关注私信	htpidk 2014-4-11 09:05 39 楼 0 他的意思应该是说辅助的特征码吧，如果原理平台不好检测的话就直接从外面流传的辅助样本上提取几段特征码，以后发现魔兽里的模块符如果含有符合的特征码后就可以判定使用外挂了，和以前杀毒软件靠特征码找病毒差不多的意思
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 2014-4-11 12:02 40 楼 0 你说的，我想了下，但是模块基本都是被摘链隐藏的啊，没什么特征我个人感觉是操作特征，，会不会是比如鼠标多次选中迷雾某处，而某处正好有人。。
注册章雪币： 3 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	注册章 2014-4-11 16:38 41 楼 0 楼主这种方法是大地图+小地图+神F提示都没问题的么
htpidk 雪币： 6701 活跃值： (3330) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 281 粉丝 1 关注私信	htpidk 2014-4-11 18:13 42 楼 0 脱不脱链隐藏DLL都没用，以前做大地图的时候重载GAMEDLL，我试过脱链，一样被检测。11直接内存暴力搜索特征码，不会指定在哪个模块里面搜索，脱不脱都没用。
顺lee 雪币： 16 活跃值： (72) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 13 粉丝 0 关注私信	顺lee 2014-4-11 21:07 43 楼 0 那么像这种被特征了。怎么解决呢。无法知道哪儿被特征了
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 179 粉丝 0 关注私信	装逼兄 2014-5-26 21:04 44 楼 0 可以动态加花，不过麻烦了点
ruoe 雪币： 13 活跃值： (26) 能力值： (RANK：10 ) 在线值：发帖 73 回帖 197 粉丝 1 关注私信	ruoe 2014-10-28 01:51 45 楼 0 如果找到链表的数据段？获取英雄位置还是要HOOK的
ruoe 雪币： 13 活跃值： (26) 能力值： (RANK：10 ) 在线值：发帖 73 回帖 197 粉丝 1 关注私信	ruoe 2014-10-31 17:40 46 楼 0 大大，现在11似乎修改了英雄链表不知道有解决办法没
鸡蛋面雪币： 5 活跃值： (366) 能力值： ( LV3，RANK：20 ) 在线值：发帖 54 回帖 152 粉丝 5 关注私信	鸡蛋面 2014-12-23 13:49 47 楼 0 请问下，什么叫内存暴力搜索特征吗？要取得代码或数据的话不都得先获得指定模块么？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复