[求助]11平台检测通杀修改所有线程EIP到新的GAME DLL区域-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]11平台检测通杀修改所有线程EIP到新的GAME DLL区域

发表于: 2014-5-3 19:16 36977

[求助]11平台检测通杀修改所有线程EIP到新的GAME DLL区域

590339

2014-5-3 19:16

36977

查看主题内容

收藏・30

免费・0

支持

最新回复 (105) ◀ 1 2 3 4 5 ▶
笑熬浆糊雪币： 627 活跃值： (1202) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 233 粉丝 4 关注私信	笑熬浆糊 2 76 楼 [QUOTE=cvcvxk;1281234]这个东西实现思路的问题。反正我没suspend线程，也没改线程eip,我有另一种方式。贴个图，能看懂的就看懂了，不懂就不懂吧~ [/QUOTE] 照此方案已成功。非常爽。。。 2014-5-18 00:12 0
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 77 楼 hook之，又回到老路了，之所以用镜像，就是为了过CRC，关键点都有CRC校验，还是双层的，代码都是VM的，每次更新都要费很大的劲重新定位，，，所以用镜像，不修改代码，， 2014-5-18 21:42 0
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 78 楼隐藏内存，求指教。嘿嘿 2014-5-18 21:48 0
chenjinfff 雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	chenjinfff 79 楼道高一尺，魔高一丈 2014-5-19 10:58 0
南门听雨雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	南门听雨 80 楼你能不能不盯着原始image？好惆怅 2014-5-19 12:04 0
pysafe 雪币： 896 活跃值： (4939) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 116 粉丝 12 关注私信	pysafe 81 楼是不是被T了~ 2014-5-19 13:36 0
windhawk 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	windhawk 82 楼 1、关键代码会进行EBP调用检测，如果发现调用地址不在合理范围内，会被T，这个这么破 2、对原始IMAGE的TEXT节修改内存属性，由于正常游戏会频繁调用会产生大量异常，怎么破 CRC守护线程多达十几个，定时触发，有的休眠1-2分钟，总不能挂起游戏主线程几分钟吧，这样游戏也断线了啊 2014-5-21 18:40 0
pysafe 雪币： 896 活跃值： (4939) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 116 粉丝 12 关注私信	pysafe 83 楼 so 他在吹牛逼~ 2014-5-22 17:48 0
lylxd 雪币： 6344 活跃值： (4492) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 256 粉丝 1 关注私信	lylxd 84 楼骚年终归忍不住了。 2014-5-22 18:08 0
lylxd 雪币： 6344 活跃值： (4492) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 256 粉丝 1 关注私信	lylxd 85 楼此方法成功运行60分钟～～你有什么想说的。 2014-5-22 18:09 0
pysafe 雪币： 896 活跃值： (4939) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 116 粉丝 12 关注私信	pysafe 86 楼求bin 2014-5-22 18:44 0
笑熬浆糊雪币： 627 活跃值： (1202) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 233 粉丝 4 关注私信	笑熬浆糊 2 87 楼第一个问题自己想办法和二个问题我没有暂停线程,如果你不知道我怎么做的,请仔细研究V大的回复 2014-5-23 19:41 0
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 88 楼指点一二吧。前辈，。。山寨内存是山寨的哪一块呢？挂起其他所有线程修改他们的eip，这又是为了什么呢？堆栈返回地址是6f打头的，，v的方法如何避免的呢？求教，谢谢前辈我照着v大的思路自己实现了一份，不过感觉我没理解v大的意思，所以请教一下，我感觉你说的就是v大的思路。。 2014-5-24 11:04 0
590339 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	590339 89 楼朋友，QQ多少一起交流哈 2014-5-24 13:05 0
590339 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	590339 90 楼朋友，QQ多少一起交流哈 2014-5-24 13:07 0
lidagogo 雪币： 68 活跃值： (345) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 241 粉丝 0 关注私信	lidagogo 91 楼继续顶起我想问下修改DEP使用为NOACCESS模式这个是不是要改系统设置啊？我修改某个地址为PAGE_NOACCESS 然后捕获异常程序卡了 2014-5-24 13:17 0
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 92 楼 1483110599，嗯。多交流 2014-5-25 22:37 0
590339 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	590339 93 楼似乎要沉下去了，没v大爆料果然不行 2014-5-30 00:15 0
lidagogo 雪币： 68 活跃值： (345) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 241 粉丝 0 关注私信	lidagogo 94 楼道高一尺魔高一丈 V大说的对最后拼的还是战斗力 2014-5-30 03:01 0
呵呵sd 雪币： 8 活跃值： (190) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	呵呵sd 95 楼我之前投机取巧。。。就Hook~CreateThread，让他线程函数的指针永远相同。。。。此方法持续了半年。。。这几天跪了。。。估计是被发现了。。。。 2014-5-31 00:43 0
windhawk 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	windhawk 96 楼实践发现，靠谱的还是硬断+VEH 2014-6-5 13:03 0
hnoairbird 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	hnoairbird 97 楼我能告诉你11平台的全图挂都是他们自己做的我就参与其中 2014-6-7 21:29 0
hnoairbird 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	hnoairbird 98 楼而且做挂的那个内部监守自盗人员就在这个帖子里姓叶想知道更多请联系我 2014-6-7 21:31 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 4 关注私信	人在塔在 99 楼请问下是在哪里修改呢？我是单机测试，dota游戏开局后直接注入的dll，图能开，但是卡死了 od了下war3，发现是load gamedll然后执行导出的gamemain函数然后我就在启动魔兽的时候挂了lodalibrary，在load gamedll的时候拷贝模块并且自己给他重定位了下，又挂了getprocsaddress，让getprocsaddress获取gamemain地址的时候返回我拷贝的模块的gamemain函数地址但是崩了。。。请问下您这个--直接改一次eip到new image就行了到底是指的在哪里改呢。。谢谢了~~ 2014-8-11 11:22 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 4 关注私信	人在塔在 100 楼请问下storm是在哪里初始化gamedll的。。。 2014-8-11 11:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

590339

发帖

179

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (105) ◀ 1 2 3 4 5 ▶
笑熬浆糊雪币： 627 活跃值： (1202) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 233 粉丝 4 关注私信	笑熬浆糊 2 76 楼 [QUOTE=cvcvxk;1281234]这个东西实现思路的问题。反正我没suspend线程，也没改线程eip,我有另一种方式。贴个图，能看懂的就看懂了，不懂就不懂吧~ [/QUOTE] 照此方案已成功。非常爽。。。 2014-5-18 00:12 0
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 77 楼 hook之，又回到老路了，之所以用镜像，就是为了过CRC，关键点都有CRC校验，还是双层的，代码都是VM的，每次更新都要费很大的劲重新定位，，，所以用镜像，不修改代码，， 2014-5-18 21:42 0
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 78 楼隐藏内存，求指教。嘿嘿 2014-5-18 21:48 0
chenjinfff 雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	chenjinfff 79 楼道高一尺，魔高一丈 2014-5-19 10:58 0
南门听雨雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	南门听雨 80 楼你能不能不盯着原始image？好惆怅 2014-5-19 12:04 0
pysafe 雪币： 896 活跃值： (4939) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 116 粉丝 12 关注私信	pysafe 81 楼是不是被T了~ 2014-5-19 13:36 0
windhawk 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	windhawk 82 楼 1、关键代码会进行EBP调用检测，如果发现调用地址不在合理范围内，会被T，这个这么破 2、对原始IMAGE的TEXT节修改内存属性，由于正常游戏会频繁调用会产生大量异常，怎么破 CRC守护线程多达十几个，定时触发，有的休眠1-2分钟，总不能挂起游戏主线程几分钟吧，这样游戏也断线了啊 2014-5-21 18:40 0
pysafe 雪币： 896 活跃值： (4939) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 116 粉丝 12 关注私信	pysafe 83 楼 so 他在吹牛逼~ 2014-5-22 17:48 0
lylxd 雪币： 6344 活跃值： (4492) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 256 粉丝 1 关注私信	lylxd 84 楼骚年终归忍不住了。 2014-5-22 18:08 0
lylxd 雪币： 6344 活跃值： (4492) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 256 粉丝 1 关注私信	lylxd 85 楼此方法成功运行60分钟～～你有什么想说的。 2014-5-22 18:09 0
pysafe 雪币： 896 活跃值： (4939) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 116 粉丝 12 关注私信	pysafe 86 楼求bin 2014-5-22 18:44 0
笑熬浆糊雪币： 627 活跃值： (1202) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 233 粉丝 4 关注私信	笑熬浆糊 2 87 楼第一个问题自己想办法和二个问题我没有暂停线程,如果你不知道我怎么做的,请仔细研究V大的回复 2014-5-23 19:41 0
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 88 楼指点一二吧。前辈，。。山寨内存是山寨的哪一块呢？挂起其他所有线程修改他们的eip，这又是为了什么呢？堆栈返回地址是6f打头的，，v的方法如何避免的呢？求教，谢谢前辈我照着v大的思路自己实现了一份，不过感觉我没理解v大的意思，所以请教一下，我感觉你说的就是v大的思路。。 2014-5-24 11:04 0
590339 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	590339 89 楼朋友，QQ多少一起交流哈 2014-5-24 13:05 0
590339 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	590339 90 楼朋友，QQ多少一起交流哈 2014-5-24 13:07 0
lidagogo 雪币： 68 活跃值： (345) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 241 粉丝 0 关注私信	lidagogo 91 楼继续顶起我想问下修改DEP使用为NOACCESS模式这个是不是要改系统设置啊？我修改某个地址为PAGE_NOACCESS 然后捕获异常程序卡了 2014-5-24 13:17 0
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 92 楼 1483110599，嗯。多交流 2014-5-25 22:37 0
590339 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	590339 93 楼似乎要沉下去了，没v大爆料果然不行 2014-5-30 00:15 0
lidagogo 雪币： 68 活跃值： (345) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 241 粉丝 0 关注私信	lidagogo 94 楼道高一尺魔高一丈 V大说的对最后拼的还是战斗力 2014-5-30 03:01 0
呵呵sd 雪币： 8 活跃值： (190) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	呵呵sd 95 楼我之前投机取巧。。。就Hook~CreateThread，让他线程函数的指针永远相同。。。。此方法持续了半年。。。这几天跪了。。。估计是被发现了。。。。 2014-5-31 00:43 0
windhawk 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	windhawk 96 楼实践发现，靠谱的还是硬断+VEH 2014-6-5 13:03 0
hnoairbird 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	hnoairbird 97 楼我能告诉你11平台的全图挂都是他们自己做的我就参与其中 2014-6-7 21:29 0
hnoairbird 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	hnoairbird 98 楼而且做挂的那个内部监守自盗人员就在这个帖子里姓叶想知道更多请联系我 2014-6-7 21:31 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 4 关注私信	人在塔在 99 楼请问下是在哪里修改呢？我是单机测试，dota游戏开局后直接注入的dll，图能开，但是卡死了 od了下war3，发现是load gamedll然后执行导出的gamemain函数然后我就在启动魔兽的时候挂了lodalibrary，在load gamedll的时候拷贝模块并且自己给他重定位了下，又挂了getprocsaddress，让getprocsaddress获取gamemain地址的时候返回我拷贝的模块的gamemain函数地址但是崩了。。。请问下您这个--直接改一次eip到new image就行了到底是指的在哪里改呢。。谢谢了~~ 2014-8-11 11:22 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 4 关注私信	人在塔在 100 楼请问下storm是在哪里初始化gamedll的。。。 2014-8-11 11:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]11平台检测通杀 修改所有线程EIP到新的GAME DLL区域

[求助]11平台检测通杀修改所有线程EIP到新的GAME DLL区域