能力值:
( LV12,RANK:980 )
|
-
-
2 楼
应该和第二个差不多:
Target: C:\Documents and Settings\csjwaman\桌面\ennotepad\EnNOTEPAD3.EXE
OEP: 000073A5 IATRVA: 00001000 IATSize: 00000344
FThunk: 00001000 NbFunc: 00000007
1 00001000 advapi32.dll 01B0 RegQueryValueExW
1 00001004 advapi32.dll 018C RegCloseKey
1 00001008 advapi32.dll 0192 RegCreateKeyW
1 0000100C advapi32.dll 010E IsTextUnicode
1 00001010 advapi32.dll 01AF RegQueryValueExA
1 00001014 advapi32.dll 01A5 RegOpenKeyExA
1 00001018 advapi32.dll 01BB RegSetValueExW
FThunk: 00001020 NbFunc: 00000001
1 00001020 comctl32.dll 0015 CreateStatusWindowW
FThunk: 00001028 NbFunc: 00000018
1 00001028 gdi32.dll 005E EndPage
1 0000102C gdi32.dll 0001 AbortDoc
1 00001030 gdi32.dll 005C EndDoc
1 00001034 gdi32.dll 0052 DeleteDC
1 00001038 gdi32.dll 0209 StartPage
1 0000103C gdi32.dll 0178 GetTextExtentPoint32W
1 00001040 gdi32.dll 002E CreateDCW
1 00001044 gdi32.dll 01D3 SetAbortProc
1 00001048 gdi32.dll 017E GetTextFaceW
1 0000104C gdi32.dll 0210 TextOutW
1 00001050 gdi32.dll 0207 StartDocW
1 00001054 gdi32.dll 0094 EnumFontsW
1 00001058 gdi32.dll 0168 GetStockObject
1 0000105C gdi32.dll 015A GetObjectW
1 00001060 gdi32.dll 012E GetDeviceCaps
1 00001064 gdi32.dll 003C CreateFontIndirectW
1 00001068 gdi32.dll 0055 DeleteObject
0 0000106C ? 0000 002A12C7
1 00001070 gdi32.dll 01D8 SetBkMode
1 00001074 gdi32.dll 018E LPtoDP
1 00001078 gdi32.dll 0203 SetWindowExtEx
1 0000107C gdi32.dll 01FF SetViewportExtEx
0 00001080 ? 0000 002A0C11
1 00001084 gdi32.dll 01D1 SelectObject
FThunk: 0000108C NbFunc: 00000038
1 0000108C kernel32.dll 018B GetTickCount
1 00001090 kernel32.dll 0232 QueryPerformanceCounter
1 00001094 kernel32.dll 0134 GetLocalTime
1 00001098 kernel32.dll 018F GetUserDefaultLCID
1 0000109C kernel32.dll 0113 GetDateFormatW
1 000010A0 kernel32.dll 018D GetTimeFormatW
0 000010A4 ? 0000 002A0ABD
0 000010A8 ? 0000 002A02AE
1 000010AC kernel32.dll 0129 GetFileInformationByHandle
1 000010B0 kernel32.dll 003B CreateFileMappingW
1 000010B4 kernel32.dll 01FC MapViewOfFile
1 000010B8 kernel32.dll 0111 GetCurrentThreadId
1 000010BC kernel32.dll 017B GetSystemTimeAsFileTime
1 000010C0 kernel32.dll 02D2 TerminateProcess
1 000010C4 kernel32.dll 02E2 UnhandledExceptionFilter
1 000010C8 kernel32.dll 02BF SetUnhandledExceptionFilter
0 000010CC ? 0000 002A1831
1 000010D0 kernel32.dll 016B GetStartupInfoA
0 000010D4 ? 0000 002A1F30
1 000010D8 kernel32.dll 0136 GetLocaleInfoW
1 000010DC kernel32.dll 01F0 LocalFree
1 000010E0 kernel32.dll 01EC LocalAlloc
1 000010E4 kernel32.dll 033D lstrlenW
1 000010E8 kernel32.dll 01F6 LocalUnlock
1 000010EC kernel32.dll 0026 CompareStringW
1 000010F0 kernel32.dll 01F2 LocalLock
1 000010F4 kernel32.dll 00C2 FoldStringW
1 000010F8 kernel32.dll 001F CloseHandle
1 000010FC kernel32.dll 0337 lstrcpyW
1 00001100 kernel32.dll 0244 ReadFile
0 00001104 ? 0000 00290771
1 00001108 kernel32.dll 0334 lstrcmpiW
1 0000110C kernel32.dll 010F GetCurrentProcessId
1 00001110 kernel32.dll 0158 GetProcAddress
1 00001114 kernel32.dll 00E0 GetCommandLineW
1 00001118 kernel32.dll 032E lstrcatW
1 0000111C kernel32.dll 00A4 FindClose
1 00001120 kernel32.dll 00AB FindFirstFileW
1 00001124 kernel32.dll 0128 GetFileAttributesW
1 00001128 kernel32.dll 0331 lstrcmpW
1 0000112C kernel32.dll 0208 MulDiv
1 00001130 kernel32.dll 033A lstrcpynW
1 00001134 kernel32.dll 01F5 LocalSize
1 00001138 kernel32.dll 0132 GetLastError
1 0000113C kernel32.dll 0315 WriteFile
1 00001140 kernel32.dll 02A3 SetLastError
1 00001144 kernel32.dll 0308 WideCharToMultiByte
1 00001148 kernel32.dll 01F3 LocalReAlloc
1 0000114C kernel32.dll 00C4 FormatMessageW
1 00001150 kernel32.dll 0191 GetUserDefaultUILanguage
1 00001154 kernel32.dll 0293 SetEndOfFile
1 00001158 kernel32.dll 0062 DeleteFileW
1 0000115C kernel32.dll 00CE GetACP
1 00001160 kernel32.dll 02E5 UnmapViewOfFile
1 00001164 kernel32.dll 0209 MultiByteToWideChar
1 00001168 kernel32.dll 010E GetCurrentProcess
FThunk: 00001170 NbFunc: 00000004
1 00001170 shell32.dll 00F6 DragFinish
0 00001174 ? 0000 002A07EA
1 00001178 shell32.dll 00F5 DragAcceptFiles
1 0000117C shell32.dll 016D ShellAboutW
FThunk: 00001184 NbFunc: 0000004A
1 00001184 user32.dll 00F4 GetClientRect
1 00001188 user32.dll 022B SetCursor
1 0000118C user32.dll 0208 ReleaseDC
1 00001190 user32.dll 0101 GetDC
1 00001194 user32.dll 0097 DialogBoxParamW
1 00001198 user32.dll 0221 SetActiveWindow
1 0000119C user32.dll 0117 GetKeyboardLayout
1 000011A0 user32.dll 0088 DefWindowProcW
1 000011A4 user32.dll 0091 DestroyWindow
0 000011A8 ? 0000 002A04DE
1 000011AC user32.dll 0270 ShowWindow
0 000011B0 ? 0000 002A13A6
1 000011B4 user32.dll 0191 IsIconic
1 000011B8 user32.dll 0160 GetWindowPlacement
1 000011BC user32.dll 0033 CharUpperW
1 000011C0 user32.dll 01B1 LoadStringW
1 000011C4 user32.dll 019C LoadAcceleratorsW
1 000011C8 user32.dll 0149 GetSystemMenu
1 000011CC user32.dll 01F9 RegisterClassExW
1 000011D0 user32.dll 01A6 LoadImageW
1 000011D4 user32.dll 01A2 LoadCursorW
1 000011D8 user32.dll 0260 SetWindowPlacement
1 000011DC user32.dll 005C CreateWindowExW
1 000011E0 user32.dll 0103 GetDesktopWindow
1 000011E4 user32.dll 010B GetFocus
1 000011E8 user32.dll 01A4 LoadIconW
1 000011EC user32.dll 0265 SetWindowTextW
1 000011F0 user32.dll 01E6 PostQuitMessage
0 000011F4 ? 0000 002A2778
1 000011F8 user32.dll 0297 UpdateWindow
1 000011FC user32.dll 024D SetScrollPos
1 00001200 user32.dll 0025 CharLowerW
1 00001204 user32.dll 01E3 PeekMessageW
1 00001208 user32.dll 00BA EnableWindow
1 0000120C user32.dll 00B4 DrawTextExW
1 00001210 user32.dll 0052 CreateDialogParamW
1 00001214 user32.dll 0166 GetWindowTextW
1 00001218 user32.dll 014A GetSystemMetrics
1 0000121C user32.dll 01CF MoveWindow
1 00001220 user32.dll 017F InvalidateRect
1 00001224 user32.dll 02AF WinHelpW
1 00001228 user32.dll 0105 GetDlgCtrlID
1 0000122C user32.dll 0038 ChildWindowFromPoint
1 00001230 user32.dll 020F ScreenToClient
1 00001234 user32.dll 0100 GetCursorPos
1 00001238 user32.dll 0215 SendDlgItemMessageW
1 0000123C user32.dll 021E SendMessageW
1 00001240 user32.dll 0028 CharNextW
1 00001244 user32.dll 0035 CheckMenuItem
1 00001248 user32.dll 003E CloseClipboard
1 0000124C user32.dll 018B IsClipboardFormatAvailable
1 00001250 user32.dll 01D9 OpenClipboard
1 00001254 user32.dll 012B GetMenuState
1 00001258 user32.dll 00B8 EnableMenuItem
1 0000125C user32.dll 0146 GetSubMenu
1 00001260 user32.dll 0120 GetMenu
0 00001264 ? 0000 002907DD
1 00001268 user32.dll 025F SetWindowLongW
1 0000126C user32.dll 015C GetWindowLongW
1 00001270 user32.dll 0106 GetDlgItem
1 00001274 user32.dll 0234 SetFocus
1 00001278 user32.dll 0232 SetDlgItemTextW
1 0000127C user32.dll 02B5 wsprintfW
1 00001280 user32.dll 0109 GetDlgItemTextW
1 00001284 user32.dll 00BC EndDialog
1 00001288 user32.dll 0139 GetParent
1 0000128C user32.dll 028A UnhookWinEvent
1 00001290 user32.dll 0099 DispatchMessageW
1 00001294 user32.dll 0288 TranslateMessage
1 00001298 user32.dll 0286 TranslateAcceleratorW
1 0000129C user32.dll 018E IsDialogMessageW
1 000012A0 user32.dll 01E5 PostMessageW
0 000012A4 ? 0000 002A2B56
1 000012A8 user32.dll 025C SetWinEventHook
FThunk: 000012B0 NbFunc: 00000003
1 000012B0 winspool.drv 00F2 GetPrinterDriverW
1 000012B4 winspool.drv 0086 ClosePrinter
1 000012B8 winspool.drv 00F7 OpenPrinterW
FThunk: 000012C0 NbFunc: 00000009
1 000012C0 comdlg32.dll 0074 PageSetupDlgW
1 000012C4 comdlg32.dll 006B FindTextW
1 000012C8 comdlg32.dll 0077 PrintDlgExW
1 000012CC comdlg32.dll 0068 ChooseFontW
1 000012D0 comdlg32.dll 006D GetFileTitleW
1 000012D4 comdlg32.dll 006F GetOpenFileNameW
1 000012D8 comdlg32.dll 007A ReplaceTextW
1 000012DC comdlg32.dll 0069 CommDlgExtendedError
1 000012E0 comdlg32.dll 0071 GetSaveFileNameW
FThunk: 000012E8 NbFunc: 00000016
1 000012E8 msvcrt.dll 004B _XcptFilter
1 000012EC msvcrt.dll 00D7 _exit
1 000012F0 msvcrt.dll 00AA _c_exit
1 000012F4 msvcrt.dll 02E6 time
1 000012F8 msvcrt.dll 02A3 localtime
1 000012FC msvcrt.dll 00AD _cexit
1 00001300 msvcrt.dll 0295 iswctype
1 00001304 msvcrt.dll 00CE _except_handler3
1 00001308 msvcrt.dll 0241 _wtoi
1 0000130C msvcrt.dll 02FE wcsncmp
1 00001310 msvcrt.dll 01BD _snwprintf
1 00001314 msvcrt.dll 025F exit
0 00001318 ? 0000 002A0C7D
1 0000131C msvcrt.dll 005B __getmainargs
1 00001320 msvcrt.dll 011A _initterm
1 00001324 msvcrt.dll 0086 __setusermatherr
0 00001328 ? 0000 002A1D35
1 0000132C msvcrt.dll 006D __p__commode
1 00001330 msvcrt.dll 0072 __p__fmode
1 00001334 msvcrt.dll 0084 __set_app_type
1 00001338 msvcrt.dll 00BA _controlfp
1 0000133C msvcrt.dll 02FF wcsncpy
|
能力值:
( LV9,RANK:450 )
|
-
-
3 楼
恩,处理方法上是差不多的, 是用的脚本吧,晚上加点花到里面看看。也有可能你是修改了循环处理那里,让程序运行后,所调用到api就修复一个api,才导致有那么几个没有修复,因为他们还没有调用到。
可否发下你的方法。
|
能力值:
( LV9,RANK:450 )
|
-
-
4 楼
最初由 csjwaman 发布 应该和第二个差不多:
Target: C:\Documents and Settings\csjwaman\桌面\ennotepad\EnNOTEPAD3.EXE OEP: 000073A5 IATRVA: 00001000 IATSize: 00000344
........
随便加了很简单的花,再测试看看,如果你用脚本那么加大你的脚本对正确与错误数据的区分难度。
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
最初由 netsowell 发布 随便加了很简单的花,再测试看看,如果你用脚本那么加大你的脚本对正确与错误数据的区分难度。
正在找MAGIC JUMP没找到 ,有吗?
|
能力值:
( LV12,RANK:980 )
|
-
-
6 楼
我是用脚本的,最后只有3个没修复。跟一下带壳程序应该也能跟出来。但我没有继续了:0
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
最初由 netsowell 发布 随便加了很简单的花,再测试看看,如果你用脚本那么加大你的脚本对正确与错误数据的区分难度。
对开发外挂的人,有实际用途?
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
最初由 csjwaman 发布 我是用脚本的,最后只有3个没修复。跟一下带壳程序应该也能跟出来。但我没有继续了:0
能否把脚本贴出来学习学习
|
能力值:
( LV9,RANK:450 )
|
-
-
9 楼
最初由 liuyilin 发布 正在找MAGIC JUMP没找到 ,有吗?
没有MAGIC JUMP的
|
能力值:
( LV9,RANK:450 )
|
-
-
10 楼
最初由 鸡蛋壳 发布 对开发外挂的人,有实际用途?
我只是想在效率兼容和安全上找一个自己认为平衡的点。
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
最初由 netsowell 发布 我只是想在效率兼容和安全上找一个自己认为平衡的点。
与其自行开发,为何不用商业方案?NP?
|
能力值:
( LV9,RANK:450 )
|
-
-
12 楼
最初由 鸡蛋壳 发布 与其自行开发,为何不用商业方案?NP?
我写这个壳不是为了自己用,网络游戏客户端是没必要加密的。我是这几天想温习下PE文件格式,就起草了这个壳,然后现在慢慢完善,并没有经过什么策划或者有什么目的才写这个壳的。名字我都随便取的,PE123(好听的都给取光拉)
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
最初由 netsowell 发布 我写这个壳不是为了自己用,网络游戏客户端是没必要加密的。我是这几天想温习下PE文件格式,就起草了这个壳,然后现在慢慢完善,并没有经过什么策划或者有什么目的才写这个壳的。名字我都随便取的,PE123(好听的都给取光拉)
那你辅助外挂怎么档?
|
能力值:
( LV9,RANK:450 )
|
-
-
14 楼
最初由 鸡蛋壳 发布 那你辅助外挂怎么档?
无论你加什么壳也挡不到
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
最初由 netsowell 发布 无论你加什么壳也挡不到
我没说一定要壳来档,的确什么壳都档不到,包括带驱动的THEMIDA。你总不可能所有相关代码都用混淆或者VM吧,固然好,也别贪多,不然那个速度。但对于HOOK外挂依然是档不到的。
|
能力值:
( LV9,RANK:450 )
|
-
-
16 楼
最初由 鸡蛋壳 发布 我没说一定要壳来档,的确什么壳都档不到,包括带驱动的THEMIDA。你总不可能所有相关代码都用混淆或者VM吧,固然好,也别贪多,不然那个速度。但对于HOOK外挂依然是档不到的。
对于外挂其实防是很难的,因为是模拟一个人的工作,如果没有放出来的外挂,想防,很难,有一种思路是讨论外挂和人操作的区别,外挂因为是程序化的,所以如果发现有大量相同固定的操作(封包),那么很可能有外挂出现了,例如外挂寻路很多都是使用最短距离寻路,所以他们的坐标和路径每次都是一样的。自然封包除了效验,操作应该是一样的。(人操作从这个地方到另外一个地方肯定不可能每次都走同一样的路线)这样就可以预知一些外挂,但是谁愿意浪费大量的资源去监视和分析这些封包呢。
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
最初由 netsowell 发布 对于外挂其实防是很难的,因为是模拟一个人的工作,如果没有放出来的外挂,想防,很难,有一种思路是讨论外挂和人操作的区别,外挂因为是程序化的,所以如果发现有大量相同固定的操作(封包),那么很可能有外挂出现了,例如外挂寻路很多都是使用最短距离寻路,所以他们的坐标和路径每次都是一样的。自然封包除了效验,操作应该是一样的。(人操作从这个地方到另外一个地方肯定不可能每次都走同一样的路线)这样就可以预知一些外挂,但是谁愿意浪费大量的资源去监视和分析这些封包呢。
如果加入随机因子在里面,那就没办法了?何不做成远程监控,直接截图传回服务器。哈哈
|
能力值:
( LV12,RANK:980 )
|
-
-
18 楼
呵呵!:)
|
能力值:
( LV9,RANK:450 )
|
-
-
19 楼
最初由 鸡蛋壳 发布 如果加入随机因子在里面,那就没办法了?何不做成远程监控,直接截图传回服务器。哈哈
做个木马好了。
|
|
|