有没有研究平台的同学

qghostl

写了个简单的小地图可见，下面就是反平台了。
毫无思路。
有同道中人，可以在这帖子内进行讨论呢


目前只在11Game.exe里有所发现，但没啥用处。
11xp.dll线程暂停也好，结束也好，不久11就报开挂，虽然连个挂都没开。
倒是发现个囚犯也能进天梯的jmp，有兴趣的跟帖讨论~~

qghostl

Executable modules, 条目 119
基址=66D60000
大小=00056000 (352256.)
入口=66D7E37E vpndll.<ModuleEntryPoint>
名称=vpndll
文件版本=3.0.1.410
路径=E:\Program Files (x86)\11game\vpndll.dll


66D61BAA    B8 0833D866     mov eax,vpndll.66D83308                  ; %s 被11检测到作弊被踢出游戏，请大家自觉爱护游戏环境

qghostl

11xp.dll之外有检测dll

E:\Program Files (x86)\11game\War3Shell.dll                0x0000000066BF0000                0x00000000000BC000
//此dll里有令人兴奋的文字。


E:\Program Files (x86)\11game\Patch\war3\g124e_2\Game.dll                0x000000006F000000                0x0000000000BD4000       
E:\Program Files (x86)\11game\msvcr100.dll                0x000000005D880000                0x00000000000BD000       
E:\Program Files (x86)\11game\msvcp100.dll                0x000000005D810000                0x0000000000069000       
E:\Program Files (x86)\11game\DxWorker.dll                0x0000000066580000                0x000000000011B000
E:\Program Files (x86)\11game\DxRender.dll                0x00000000666A0000                0x00000000001A8000                上海奕奕数字技术有限公司
E:\Program Files (x86)\11game\D3D8Hook.dll                0x0000000066A30000                0x00000000001B7000

E:\Program Files (x86)\11game\assocket.dll                0x00000000676B0000                0x0000000000052000
因为此dll而崩溃的很多，百度出的结果都是崩溃，线程的终止，也就是说和线程相关的函数调用dll？

mar1321

天书一样的文字 但是我感觉 从patch 下动动手脚应该不错的选择 前提是平台不能发现的了

958328814

能进天梯但无法匹配吧 他应该是网络验证的 你是囚犯就直接与房间断开连接了

我来看看

这种贴早就应该发了。不过我认为应该先来个过VS平台的。。。由浅入深比较好。。直接来11有难度。。。

qghostl

过检测的一些小发现

1. VPNdll.dll
   
2. 013C919B     /EB 07         jmp short 11Game.013C91A4                ;  上传数据
   
3. 
   
4. 669E683A   /EB 0D           jmp short vpndll.669E6849                ; replay发送
   
5. 
   
6. 669E7D50    C2 0400         retn 0x4                                 ; 发送录像，这个是被检测后自动上传lastreplay到服务器，然后鉴定为囚犯
   
7. 
   
8. 669F4180    C3              retn                                     ; 模块加载失败，此处是新建文件夹 11xp.dll D3D8Hook.dll  ,有意想不到的惊喜
   
9. 
   
10. 11Game.exe
    
11. 
    
12. 012A8615  |. /74 79         je short 11Game.012A8690  ;这两处跳转直接修改成jmp那么就能过文件校验，是为上面的服务的。
    
13. 
    
14. 0138997D     /EB 6B         je short 11Game.013899EA  //验证dll
    

复制代码

说下总体思路，11的反挂很厉害，吐血。
1.以前我记得很强调11xp.dll，因此直接从这个dll入手，发现可以直接新建文件夹搞定，那么这样11game.exe自然无法调用此dll注入war3.exe。
2.用XT查看war3.exe的线程，11XP.DLL已经不存在，上面的成功。
3.随便找了个以前的过时MH，妥妥的开启全图，好景不长，5分钟后提示外挂，在一个账号变囚后，发现了上传录像这么个流程。也碰巧发现原来把这个jmp以后，虽然提示外挂，但不会变囚。
4.之后把注入war3.exe的dll都查看了一下，没什么特殊发现，眼光朝向11game.exe，凑巧发现了VPNdll.dll，里面有这么一个字符串

1. 66D61BAA    B8 0833D866     mov eax,vpndll.66D83308                  ; %s 被11检测到作弊被踢出游戏，请大家自觉爱护游戏环境

复制代码

思路马上来了，字串显示前断下，然后再回朔找关键跳。
其实上面那个字符串是假的，真正的判断是否开挂的在 66D83308 这个地址所在的一大片汇编代码都是VM的，你懂的。
之后同样找到了D3D8Hook.dll 其中也有个字符串。



11game\D3D8Hook.dll
11game\11xp.dll
11game\vpndll.dll
11game\Patch\war3\g124e_2\
自行ctrl+F吧。

目前我的都是修改文件，修改的有11GAME.EXE VPNDLL.DLL D3D8Hook.dll
文件夹方法替换了 11XP.DLL
当然也能内存patch，改天自己再捣鼓。

qqlinhai

毅力帝，佩服，感觉跟平台较劲很累，就算找到特征码更新还是必须要修改地址，还是对jass比较有兴趣，每次编译完加个VM，就让它上传分析，累死11

olly

针对性分析是个体力活，在比谁

我来看看

难道就没用一劳永逸的办法吗？