breeze论坛 › 编程讨论 › 有没有研究平台的同学

qghostl 发表于 2013-7-13 13:17:03

有没有研究平台的同学

写了个简单的小地图可见，下面就是反平台了。
毫无思路。
有同道中人，可以在这帖子内进行讨论呢


目前只在11Game.exe里有所发现，但没啥用处。
11xp.dll线程暂停也好，结束也好，不久11就报开挂，虽然连个挂都没开。
倒是发现个囚犯也能进天梯的jmp，有兴趣的跟帖讨论~~

qghostl 发表于 2013-7-13 15:23:44

Executable modules, 条目 119
基址=66D60000
大小=00056000 (352256.)
入口=66D7E37E vpndll.<ModuleEntryPoint>
名称=vpndll
文件版本=3.0.1.410
路径=E:\Program Files (x86)\11game\vpndll.dll


66D61BAA    B8 0833D866   mov eax,vpndll.66D83308                  ; %s 被11检测到作弊被踢出游戏，请大家自觉爱护游戏环境

qghostl 发表于 2013-7-13 14:29:55

11xp.dll之外有检测dll

E:\Program Files (x86)\11game\War3Shell.dll                0x0000000066BF0000                0x00000000000BC000
//此dll里有令人兴奋的文字。


E:\Program Files (x86)\11game\Patch\war3\g124e_2\Game.dll                0x000000006F000000                0x0000000000BD4000       
E:\Program Files (x86)\11game\msvcr100.dll                0x000000005D880000                0x00000000000BD000       
E:\Program Files (x86)\11game\msvcp100.dll                0x000000005D810000                0x0000000000069000       
E:\Program Files (x86)\11game\DxWorker.dll                0x0000000066580000                0x000000000011B000
E:\Program Files (x86)\11game\DxRender.dll                0x00000000666A0000                0x00000000001A8000                上海奕奕数字技术有限公司
E:\Program Files (x86)\11game\D3D8Hook.dll                0x0000000066A30000                0x00000000001B7000

E:\Program Files (x86)\11game\assocket.dll                0x00000000676B0000                0x0000000000052000
因为此dll而崩溃的很多，百度出的结果都是崩溃，线程的终止，也就是说和线程相关的函数调用dll？

mar1321 发表于 2013-7-13 18:23:39

天书一样的文字 但是我感觉 从patch 下动动手脚应该不错的选择 前提是平台不能发现的了

958328814 发表于 2013-7-13 21:56:40

能进天梯但无法匹配吧 他应该是网络验证的 你是囚犯就直接与房间断开连接了

我来看看 发表于 2013-7-13 22:18:36

:D这种贴早就应该发了。不过我认为应该先来个过VS平台的。。。由浅入深比较好。。直接来11有难度。。。

qghostl 发表于 2013-7-13 22:36:47

过检测的一些小发现VPNdll.dll
013C919B   /EB 07         jmp short 11Game.013C91A4                ;上传数据

669E683A   /EB 0D         jmp short vpndll.669E6849                ; replay发送

669E7D50    C2 0400         retn 0x4                                 ; 发送录像，这个是被检测后自动上传lastreplay到服务器，然后鉴定为囚犯

669F4180    C3            retn                                     ; 模块加载失败，此处是新建文件夹 11xp.dll D3D8Hook.dll,有意想不到的惊喜

11Game.exe

012A8615|. /74 79         je short 11Game.012A8690;这两处跳转直接修改成jmp那么就能过文件校验，是为上面的服务的。

0138997D   /EB 6B         je short 11Game.013899EA//验证dll
说下总体思路，11的反挂很厉害，吐血。
1.以前我记得很强调11xp.dll，因此直接从这个dll入手，发现可以直接新建文件夹搞定，那么这样11game.exe自然无法调用此dll注入war3.exe。
2.用XT查看war3.exe的线程，11XP.DLL已经不存在，上面的成功。
3.随便找了个以前的过时MH，妥妥的开启全图，好景不长，5分钟后提示外挂，在一个账号变囚后，发现了上传录像这么个流程。也碰巧发现原来把这个jmp以后，虽然提示外挂，但不会变囚。
4.之后把注入war3.exe的dll都查看了一下，没什么特殊发现，眼光朝向11game.exe，凑巧发现了VPNdll.dll，里面有这么一个字符串66D61BAA    B8 0833D866   mov eax,vpndll.66D83308                  ; %s 被11检测到作弊被踢出游戏，请大家自觉爱护游戏环境思路马上来了，字串显示前断下，然后再回朔找关键跳。
其实上面那个字符串是假的，真正的判断是否开挂的在 66D83308 这个地址所在的一大片汇编代码都是VM的，你懂的。
之后同样找到了D3D8Hook.dll 其中也有个字符串。



11game\D3D8Hook.dll
11game\11xp.dll
11game\vpndll.dll
11game\Patch\war3\g124e_2\
自行ctrl+F吧。

目前我的都是修改文件，修改的有11GAME.EXE VPNDLL.DLL D3D8Hook.dll
文件夹方法替换了 11XP.DLL
当然也能内存patch，改天自己再捣鼓。

qqlinhai 发表于 2013-7-15 09:12:56

毅力帝，佩服，感觉跟平台较劲很累，就算找到特征码更新还是必须要修改地址，还是对jass比较有兴趣:lol，每次编译完加个VM，就让它上传分析，累死11:lol

olly 发表于 2013-7-15 12:19:12

针对性分析是个体力活，在比谁

我来看看 发表于 2013-7-15 19:36:13

:lol难道就没用一劳永逸的办法吗？

查看完整版本: 有没有研究平台的同学