-
-
[旧帖] OD载如外挂发现的问题 0.00雪花
-
发表于: 2008-11-27 12:29
-
我破的外挂已验过c++无壳。我用OD载入外挂后F9运行该程序,发现OD右下角红字提示外挂程序已终止!但是外挂已经开启,已经能登路了!我输入了随机帐号密码尝试登陆,无法登陆成功。说明外挂正常运行!
于是我ALT+Ctrl+Delete打开任务管理器发现外挂的进程名已改!我用OD载入外挂F8单步走直到外挂刚出现登陆窗口时观查进程名是KTZ.exe(就是外挂的本名)。 直到完全开启后OD显示外挂程序终止。打开任务管理器发现进程中KTZ.exe还在,可是却无故多了个3894.det的进程。到这里我有些明白了。
我关掉OD,进程中KTZ.exe消失,外挂程序还在。而3894.det没消失。我想3894.det这就是开启后外挂在任务管理器中的进程!我关掉外挂3894.det消失。我直接开启外挂进程名变了是22.det。
也就是说外挂它能够通过每次开启后改变它的进程名来防止被OD修改从而无法用OD分析它的登陆信息和一些重要事件!
像这样的外挂好象现在都是这种反破解。我要问的是如何使外挂启动后不改变它在进程里的名称(也就是任务管理器中进程选项卡中的映像名称)!按常规的话映像名称因该和程序名一样的!如可使其不改变那OD就能够正常载入程序并开使破解工作了。还有望高手不吝赐教~~~~
于是我ALT+Ctrl+Delete打开任务管理器发现外挂的进程名已改!我用OD载入外挂F8单步走直到外挂刚出现登陆窗口时观查进程名是KTZ.exe(就是外挂的本名)。 直到完全开启后OD显示外挂程序终止。打开任务管理器发现进程中KTZ.exe还在,可是却无故多了个3894.det的进程。到这里我有些明白了。
我关掉OD,进程中KTZ.exe消失,外挂程序还在。而3894.det没消失。我想3894.det这就是开启后外挂在任务管理器中的进程!我关掉外挂3894.det消失。我直接开启外挂进程名变了是22.det。
也就是说外挂它能够通过每次开启后改变它的进程名来防止被OD修改从而无法用OD分析它的登陆信息和一些重要事件!
像这样的外挂好象现在都是这种反破解。我要问的是如何使外挂启动后不改变它在进程里的名称(也就是任务管理器中进程选项卡中的映像名称)!按常规的话映像名称因该和程序名一样的!如可使其不改变那OD就能够正常载入程序并开使破解工作了。还有望高手不吝赐教~~~~
|
|
|---|---|
|
|
|
|
|
|
|
|
|
