首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]最近玩Game想改成能双开的,各位帮下忙
发表于: 2006-5-6 22:09 3785

[求助]最近玩Game想改成能双开的,各位帮下忙

vbird 活跃值
2006-5-6 22:09
3785
我用C32Asm导出的反汇编代码。
http://sic.szpt.net/webdisk2/21674/O2JamPatchClient.rar

里面这段应该是关键哈,可是弄不明
::00401BAF::  68 FCE04300              PUSH    43E0FC                              \->: O2JamPatchClient
::00401BB4::  53                       PUSH    EBX                             
::00401BB5::  8BF1                     MOV     ESI, ECX                        
::00401BB7::  53                       PUSH    EBX                             
::00401BB8::  FF15 BC214300            CALL    DWORD PTR [4321BC]                  >>>: KERNEL32.DLL:CreateMutexA
::00401BBE::  8986 C0000000            MOV     DWORD PTR [ESI+C0], EAX         
::00401BC4::  FF15 C0214300            CALL    DWORD PTR [4321C0]                  >>>: KERNEL32.DLL:GetLastError
::00401BCA::  3D B7000000              CMP     EAX, B7                         
::00401BCF::  75 2C                    JNZ     SHORT 00401BFD                  \:JMPDOWN    >>>: COMCTL32.DLL:COMCTL32:NoName0000
::00401BD1::  53                       PUSH    EBX                             
::00401BD2::  53                       PUSH    EBX                             
::00401BD3::  68 E0E04300              PUSH    43E0E0                              \->: O2Jam is already running!
::00401BD8::  E8 1F900200              CALL    0042ABFC                        \:JMPDOWN
::00401BDD::  8B06                     MOV     EAX, DWORD PTR [ESI]            
::00401BDF::  8BCE                     MOV     ECX, ESI                        
::00401BE1::  FF50 68                  CALL    DWORD PTR [EAX+68]              
::00401BE4::  5E                       POP     ESI

[课程]Linux pwn 探索篇!

收藏
免费 0
支持
分享
最新回复 (7)
vbird
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
00401BCF处的75改成EB

我本人是这样想的,可是不行,启动还是弹出个O2Jam is already running!
2006-5-6 23:35
0
紫色缘
雪    币: 253
活跃值: (25)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
私信
3
最初由 vbird 发布
00401BCF处的75改成EB

我本人是这样想的,可是不行,启动还是弹出个O2Jam is already running!


不懂我讲的对不对

试试
401BAF处  修改成 jmp 401BFC
2006-5-7 00:38
0
wangshq397
雪    币: 277
活跃值: (312)
能力值: ( LV9,RANK:330 )
在线值:
发帖
回帖
粉丝
私信
4
还有暗桩................
2006-5-7 12:06
0
vbird
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
是啊,有暗桩,我不会改啊
2006-5-7 12:31
0
6161289
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
这个比较有挑战性啊
呵呵
2006-5-8 15:20
0
牧狼
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
我个人认为哈!
它既然不让多开,那他肯定要检验已经打开的窗口! 破坏掉他的检测机制!
我没仔细看,但是我感觉把
::00401BCA::  3D B7000000              CMP     EAX, B7   
这句给干掉,应该就不成问题了,其他的跳转都是根据结果来的,不让他出结果,不就哦棵了??? 而且,暗桩估计也是根据检测的结果来搞的,没有检测结果,或者检测结果是没有打开窗口,那不就是意味着,想开多少就开多少了???

没考虑过这方面的,应该还有其他的方法!
2006-5-8 16:43
0
dreaman
雪    币: 1325
活跃值: (507)
能力值: ( LV12,RANK:450 )
在线值:
发帖
回帖
粉丝
私信
8
有明确的提示,是不是可以利字串参考找到弹出消息的代码,然后查调用它的过程,调弹出窗口的代码后面的代码应该就是退出程序的了.
2006-5-8 23:02
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//