一次简单的逆向外挂弹窗分析

夜陌

今天记录一次混水逆向游戏cf外挂软件过程，夏日炎炎，日常敲码。。。。

最近忙于建自己站，需要往自己博客添加一些软件，我就盯向了 游戏外挂这个流量群体，像我们这种肯定没时间去写，

那只能去破解啊，我随便搜索几个辅助网的 下载了一个xxx断网瞬移 不多说开始我的分析过程 ！

先查壳 嗯 很干净  。。。


然后 F9运行程序 出现这个


打开一个弹窗出现在我的眼前，emm 很多辅助都有这种手法 带一个远程更新，然后我就看了看中文搜索引擎字串

很干净，就头部这里 看到一个TSTheme.exe 以及\dll  exe是检测进程名 然而dll是释放dll 心里明白了 默默打开Exeinfope 提取dll


然后，我们就可以看到改dll 是加了vmp2.07 我说呢 原来就是一个启动程序

在把dll 丢进od

开始 以为 看到这些字串 可以确定就是这里了 ，但是我仔细在看看 发现不对劲

看到这里竟然还在释放dll，对于我这个混过辅助圈的，可以确定这个才是功能dll  这作者真是有点废心机哈


嗯 分析已经完了，那就开始 步骤吧，对我个人 而言 我只需要把弹窗去掉 就可以了




然后在弹窗错误这快 找到头部 进去retn 用pyg的补丁工具 打一个dll 就可以了 这里不多操作思路放这里了 ！

还有一种办法就是提取功能dll，自己写注入 至于提取方法就是 进群下载新版本 ，如果没有游戏 自己易语言写一个以 crossfire.exe 命名的程序 等他会释放出dll 自己额外复制一份 出来  永久可用  

自己在网上随便下载一个万能注入功ju  就可以用了  ，大概思路是这样 具体靠各位实践哦！

通用DLL注入器 V1.0.zip (574.74 KB, 下载次数: 109)

2020-7-30 13:39 上传

点击文件名下载附件

学无止境it

大佬你那个seo的提问不了了，  那个产品展示的时候  图片上的超链接和文字上的超链接 一样的时候   给图片上的超链接加 nofollow对吧     文字上的超链接不加

倚楼听风雨c

光提取dll估计没用，要是dll还有二次校验就炸啦

qzhsjz

他们搞这种辅助一看就不专业，最起码得上个反射注入，最好再抹了PE头，还得在功能DLL里加上防dump，才能保证安全。

夜陌

qzhsjz 发表于 2020-7-30 14:02
他们搞这种辅助一看就不专业，最起码得上个反射注入，最好再抹了PE头，还得在功能DLL里加上防dump，才能保 ...

主要一帮小孩子哪里懂这么多哦

ali888889

膜拜大神，，，这些工具哪里有的下载呢？

国际豆哥

加油！很厉害

绫音

学习一下  谢谢分享

吾爱、技术组

学习学习  谢大佬分享

elevo

菜鸟表示看不懂啊，太复杂了