一切从C开始_博客

文章列表

您正在查看 "游戏分析" 分类下的文章

2009-02-25 13:23

// MainProcessDll.cpp : Defines the entry point for the DLL application.
//
#include <windows.h>
#include <stdlib.h>
#include <stdio.h>

char g_waiguaFullPath[0x100] = {0};
DWORD g_FunAddr = 0;
DWORD g_PatchFunc = 0;
DWORD g_PatchAllHookFun = 0;
DWORD g_CmdLen = 5;
BYTE g_Cmd[0x14] = {0};
LPVOID g_mem = NULL;
DWORD g_hookflag = 0;

WCHAR tt[] = L"tt";

typedef HANDLE (CA

阅读全文>>

类别：游戏分析 | 评论(10) | 浏览()

调试注入到宿主程序的dll的办法

2009-02-16 11:29

假设我们有一个木马程序，它运行后会释放出一个dll，注入到游戏程序中去。现在，我们如果要调试这个dll，我们就需要在游戏进程中拦截到它，然后再调试它的功能。

因此，调试的步骤就是：

1. 启动游戏，让游戏正常运行起来。用OD附加上。

2. 下断bp LoadLibraryA，启动木马程序。让其dll注入。

3. 断下后，说明注入成功.这个时候可以跟踪木马释放出的dll在游戏中的动作。

4. 继续断下注入dll中的其他导出函数，进行调试，明确其各个导出函数。

注：

阅读全文>>

类别：游戏分析 | 评论(9) | 浏览()

神话马框架分析

2009-02-06 00:27

近来收到了一个神话马的样本，粗略的看了他的框架。基本上包含3部分。

1. 一个exe载体。用于释放出一个dll,并会通过rundll32.exe加载dll中的一个导出函数ins。
这里为了隐蔽，他会把系统的rundll32.exe，copy出一份，改名为r05015.exe。把导出的dll放在临时目录下，后缀为".~~~"的临时文件.

2. 在dll中，会映像劫持rpcss.dll. 他导出了rpcss.dll的所有函数，并且多导出了一个ins函数。这个dll函数，会因为劫持rpcss.dll服务，改变注册表中的rpcss服务键值，而开机自动加载，并且会将自

阅读全文>>

类别：游戏分析 | 评论(4) | 浏览()

QQ2008输入密码-TSSafeEdit-保护破释分析【转载】

2008-12-15 09:47

【破文标题】QQ2008输入密码-TSSafeEdit-保护破释分析
【对　　象】初入门的新手
【下载地址】www.qq.com
【破解工具】OD
【保护方式】消息加密保护
【任　　务】找出原始消息记录触发点
【破文作者】thomasyzh
【组　　织】没有
【破解声明】这篇破文图的是速度，和解决问题---没有更加多的深入分析保护方式-总共12小时，3天，每天4小时
【备　　注】老手勿看，别浪费你的时间
【电　　邮】machinesy@163.com
【破解过程】

首先，要知道其对于密码的保护方式。其用键盘记录精灵

阅读全文>>

类别：游戏分析 | 评论(6) | 浏览()

谈谈对一个软件资源的修改

2008-08-22 17:13

近日，得到了一个软件，在这个软件exe的资源中，保存着另外的可执行模块，我想替换其中的模块，替换为自己的模块。

为了便于描述，我把要修改资源的exe，称作源文件，把要替换进取的模块exe，成为目标模块。
办法如下：

1。备份下源文件，然后用vc打开以资源的方式打开源文件exe, 找到要替换的资源。找到后，双击打开。
2。用vc以二进制的方式打开目标模块，用目标模块的二进制内容，替换到1。
3。替换完后，保存源文件。退出目标模块。
4。用Stud_PE打开备份的源文件和修改后的源文件。对照着备

阅读全文>>

类别：游戏分析 | 评论(0) | 浏览()

内核调试器监测

2008-08-12 11:12

; 判断是否有内核调试器在调试, 如果有调试器，则断开
; 如果没有，则直接返回

IsKernelDebugger proc near
        jmp   short L2
L1:
        c

阅读全文>>

类别：游戏分析 | 评论(3) | 浏览()

破解梦幻盗号木马手记之二

2008-06-28 00:38

接上篇，单步调试阅读mh1_.exe代码，会发现从exe的资源中释放出一个dll到系统目录中，exe的主要功能就是通过注册表写入当前exe的全路径名，生成的dll的全路径名，还有一个event名。然后就是终止掉 "Twister.exe"，"FilMsg.exe"， "my.exe"这三个进程，接下来就是启动一个杀瑞星的线程，启动一个杀卡巴的线程，最后调用loadlibrary加载生成的dll.

接下来，我们就是奔入主题，来看下有exe生成的这个具有核心功能的dll.同样适用peid察壳，发现跟exe是同样的壳。步骤如下：
1。用od载入系统目

阅读全文>>

类别：游戏分析 | 评论(4) | 浏览()

破解梦幻盗号木马手记之一

2008-06-27 23:30

1。用peid检测壳。