[求助]关掉外挂，只要不关闭游戏，外挂的功能就一直存在？请求前辈指点-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]关掉外挂，只要不关闭游戏，外挂的功能就一直存在？请求前辈指点 0.00雪花

发表于: 2009-4-26 02:30 8997

[旧帖] [求助]关掉外挂，只要不关闭游戏，外挂的功能就一直存在？请求前辈指点 0.00雪花

中原霸刀

2009-4-26 02:30

8997

是一款单机游戏外挂程序
这个外挂在启动游戏的时候会进行网络验证外挂帐号有没有权限使用
当成功验证之后外挂会实现它的功能
我发现的问题就是，关掉这个外挂，只要不关游戏，外挂的功能就会一直存在
一些热键功能全部都在，比如：按F4游戏上的兵全部灭亡，把外挂关了
按F4还是有效的，请问这是为什么呢？
我是分析断点的时候发现的，这个外挂的壳我已经脱掉了。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
上面问题的原因找到了，原来是外挂目录里的两个未知后缀名的文件在搞鬼
它这两个文件的后缀名是自定义的，是像这样的“game.haha”和“game1.haha”
外挂的功能就存在这里面，不过我不知道它是一个什么样类型的文件
用记事本打开全是乱码，外挂的主程序是用BC++写的
我把它的后缀名改为EXE，直接运行显示它不是有效的win32应用程序

我用PEID查了一下这两个未知后缀名文件的壳
game.haha的壳为Themida|WinLicense 1.8.x.x-1.9.x.x -> Oreans * If the HideOD is Failure,the will be 1.9.x.x *
game1.haha的壳为Themida|WinLicense V1.9.2.0 -> Oreans Technologies *
已经确定它是动态连接库文件
但是这两个壳我始终都脱不掉
我用了所有的TMD脚本都无效
请求老大们帮我看一下是什么问题

下面是那两个dll文件的下载
http://www.namipan.com/d/79aea3955e5d541ff604ad781e4f9b443cd97b23037b3300

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (17)
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 2 楼游戏的兵全部死完莫非是DNF 哈哈 2009-4-26 06:13 0
xflin 雪币： 147 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 59 粉丝 0 关注私信	xflin 3 楼我来给你解答吧，你破解的外挂是类似于神泣之类，这类外挂的EXE只是一个启动器，功能全在DLL中，所以你看到的那两个文件实际上是DLL，EXE只是将DLL注入到游戏中，所以关掉EXE并不影响外挂正常运行，这种挂采用的是热键呼出的方式，如果你想破解的话，得费不少功夫了，一是脱壳，二是它的是否成功的标志并不明显。 2009-4-26 08:31 0
xxyyzasabc 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 98 粉丝 0 关注私信	xxyyzasabc 4 楼很明显是非单机游戏。。。。。 2009-4-26 10:11 0
中原霸刀雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 40 粉丝 0 关注私信	中原霸刀 5 楼老哥，这不是DNF外挂我只是这样比喻，比较易懂嘛实际上并没有这样的功能嘿嘿 2009-4-26 12:32 0
中原霸刀雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 40 粉丝 0 关注私信	中原霸刀 6 楼首先谢谢你的解答这个主程序的壳我已经脱掉了剩下的就是那两个DLL的壳还没有脱掉用了所有的TMD脚本都脱不掉，换了好多OD版本了还有就是我想问一下，这两个DLL文件不脱壳能实现破解吗也就是说，我只破解了主程序，比如爆破跳过它的验证能直接调用加了壳的DLL文件吗？ 2009-4-26 12:37 0
中原霸刀雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 40 粉丝 0 关注私信	中原霸刀 7 楼是单机游戏，也可以上对战平台玩功能也能实现可以理解成网络单机吧像帝国时代，实况足球一样 2009-4-26 12:38 0
鸡蛋面雪币： 5 活跃值： (511) 能力值： ( LV3，RANK：20 ) 在线值：发帖 52 回帖 157 粉丝 5 关注私信	鸡蛋面 8 楼说说我的看法吧（不要打我）也许是外挂修改了内存，在外挂自身的程序退出代码里面没有设置还原修改地址上的数据，也许这样外挂的功能就一直存在吧..... 2009-4-26 16:10 0
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 9 楼我X啊我一开始猜是星际霸主的后来我觉得不对又编辑掉了,应该相信自己的直觉啊 2009-4-26 16:31 0
xflin 雪币： 147 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 59 粉丝 0 关注私信	xflin 10 楼我知道楼主的意思，跳过EXE的验证部分吧，是这个意思吧，实际上没用，为什么呢，因为验证全部在DLL中，EXE只是一个启动器罢了，不脱壳也能破解，有两种手段，内存补丁，工具DUP，另一种就是SMC，自修补， 2009-4-27 13:57 0
中原霸刀雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 40 粉丝 0 关注私信	中原霸刀 11 楼是啊，我就是这个意思谢谢你的回答。 2009-4-27 15:28 0
griefwolf 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	griefwolf 12 楼外挂写的不行 2009-4-28 20:08 0
alangsos 雪币： 202 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 82 粉丝 0 关注私信	alangsos 1 13 楼应该是星际霸主的吧? 2009-4-28 22:57 0
不死神鸟雪币： 9 活跃值： (132) 能力值： ( LV12，RANK：200 ) 在线值：发帖 105 回帖 757 粉丝 1 关注私信	不死神鸟 1 14 楼那属于dll注射！！！！！！！！！！ 2009-4-29 09:48 0
hwyouxia 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	hwyouxia 15 楼好像是不可能实现的 2009-4-29 17:52 0
linexp 雪币： 255 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	linexp 16 楼关注 TMD脱壳 2009-4-29 22:43 0
zjbjibi 雪币： 455 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 22 粉丝 0 关注私信	zjbjibi 17 楼楼主进展如何啊？ 2009-7-9 22:35 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 18 楼这挂很垃圾的。。。知道为什么不我要是把*.haha 那两个文件删除，外挂就用不了拉。。。好垃圾 2009-7-12 09:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

中原霸刀

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 2 楼游戏的兵全部死完莫非是DNF 哈哈 2009-4-26 06:13 0
xflin 雪币： 147 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 59 粉丝 0 关注私信	xflin 3 楼我来给你解答吧，你破解的外挂是类似于神泣之类，这类外挂的EXE只是一个启动器，功能全在DLL中，所以你看到的那两个文件实际上是DLL，EXE只是将DLL注入到游戏中，所以关掉EXE并不影响外挂正常运行，这种挂采用的是热键呼出的方式，如果你想破解的话，得费不少功夫了，一是脱壳，二是它的是否成功的标志并不明显。 2009-4-26 08:31 0
xxyyzasabc 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 98 粉丝 0 关注私信	xxyyzasabc 4 楼很明显是非单机游戏。。。。。 2009-4-26 10:11 0
中原霸刀雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 40 粉丝 0 关注私信	中原霸刀 5 楼老哥，这不是DNF外挂我只是这样比喻，比较易懂嘛实际上并没有这样的功能嘿嘿 2009-4-26 12:32 0
中原霸刀雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 40 粉丝 0 关注私信	中原霸刀 6 楼首先谢谢你的解答这个主程序的壳我已经脱掉了剩下的就是那两个DLL的壳还没有脱掉用了所有的TMD脚本都脱不掉，换了好多OD版本了还有就是我想问一下，这两个DLL文件不脱壳能实现破解吗也就是说，我只破解了主程序，比如爆破跳过它的验证能直接调用加了壳的DLL文件吗？ 2009-4-26 12:37 0
中原霸刀雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 40 粉丝 0 关注私信	中原霸刀 7 楼是单机游戏，也可以上对战平台玩功能也能实现可以理解成网络单机吧像帝国时代，实况足球一样 2009-4-26 12:38 0
鸡蛋面雪币： 5 活跃值： (511) 能力值： ( LV3，RANK：20 ) 在线值：发帖 52 回帖 157 粉丝 5 关注私信	鸡蛋面 8 楼说说我的看法吧（不要打我）也许是外挂修改了内存，在外挂自身的程序退出代码里面没有设置还原修改地址上的数据，也许这样外挂的功能就一直存在吧..... 2009-4-26 16:10 0
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 9 楼我X啊我一开始猜是星际霸主的后来我觉得不对又编辑掉了,应该相信自己的直觉啊 2009-4-26 16:31 0
xflin 雪币： 147 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 59 粉丝 0 关注私信	xflin 10 楼我知道楼主的意思，跳过EXE的验证部分吧，是这个意思吧，实际上没用，为什么呢，因为验证全部在DLL中，EXE只是一个启动器罢了，不脱壳也能破解，有两种手段，内存补丁，工具DUP，另一种就是SMC，自修补， 2009-4-27 13:57 0
中原霸刀雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 40 粉丝 0 关注私信	中原霸刀 11 楼是啊，我就是这个意思谢谢你的回答。 2009-4-27 15:28 0
griefwolf 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	griefwolf 12 楼外挂写的不行 2009-4-28 20:08 0
alangsos 雪币： 202 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 82 粉丝 0 关注私信	alangsos 1 13 楼应该是星际霸主的吧? 2009-4-28 22:57 0
不死神鸟雪币： 9 活跃值： (132) 能力值： ( LV12，RANK：200 ) 在线值：发帖 105 回帖 757 粉丝 1 关注私信	不死神鸟 1 14 楼那属于dll注射！！！！！！！！！！ 2009-4-29 09:48 0
hwyouxia 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	hwyouxia 15 楼好像是不可能实现的 2009-4-29 17:52 0
linexp 雪币： 255 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	linexp 16 楼关注 TMD脱壳 2009-4-29 22:43 0
zjbjibi 雪币： 455 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 22 粉丝 0 关注私信	zjbjibi 17 楼楼主进展如何啊？ 2009-7-9 22:35 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 18 楼这挂很垃圾的。。。知道为什么不我要是把*.haha 那两个文件删除，外挂就用不了拉。。。好垃圾 2009-7-12 09:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复