一个外挂的简单分析

最新推荐文章于 2023-03-28 13:00:32 发布
最新推荐文章于 2023-03-28 13:00:32 发布
阅读量1k 收藏 1
点赞数
分类专栏: windows内核开发 驱动 汇编 文章标签: delphi user 汇编 image 游戏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/basketwill/article/details/6267414
版权



上周末突然有个外挂,逃过了反挂检测,竟然是全图外挂,

图片

通过IDA分析发现 一个virtualQuery函数,

图片

 

于是在od中加载,算了一下该函数相对模块首地址的位置断下该函数,相对基址的偏移为0xB55E,于是断下

图片

 

发现只要打勾,反复循环间隔500ms 都会走此函数,于是判断改地址是 外挂修改游戏的信息的函数

图片

 

继续推测:

通过windbg:来断下改地址,通过Kb命令 发现函数栈如下:

0012fdf4 042d4ed2 XXX+0x4ff44
0012fe20 042ca09e XXX+0x24ed2
0012fe38 77d18734 XXX+0x1a09e
0012fe64 77d18816 USER32!GetDC+0x6d
0012fecc 77d189cd USER32!GetDC+0x14f
0012ff2c 77d196c7 USER32!GetWindowLongW+0x127
0012ff3c 00451858 USER32!DispatchMessageA+0xf
0012ffa8 0045ae95 image00400000+0x51858
0012ffc0 7c817077 image00400000+0x5ae95
0012fff0 00000000 kernel32!RegisterWaitForInputIdle+0x49

 

继续往相对偏移0x1a09e的调用地方找,然后找到函数头为相对偏移0xA088:

图片
这个函数在网上就是DispatchMessage函数,从这可以判断该偏移0xA088函数是 窗体的回调函数里调用的函数,相对来说也是窗口过程,

而0xB55e是计时器调用的实现修改游戏的函数的,现在即可对该外挂进行封堵了!

 

最后提一下,上面那个外挂是Delphi写的, Delphi写的程序反汇编看的真是TMD贱啊,乱七八糟的,没有vc++编译的程序反汇编看的舒服,郁闷啊!

basketwill
关注
专栏目录
游戏外挂分析
kathywp
10-25 1516
外挂分析我主要对外挂的技术进行分析,至于游戏里面的内部结构每个都不一样,这里就不做讲解了,我也没有那么厉害,所有的都知道,呵呵!1 首先游戏外挂的原理外挂现在分为好多种,比如模拟键盘的,鼠标的,修改数据包的,还有修改本地内存的,但好像没有修改服务器内存的哦,呵呵!其实修改服务器也是有办法的,只是技术太高一般人没有办法入手而已!(比如请GM去夜总会,送礼,收黑钱等等办法都可以修改服务器数据,哈哈
C/C++编程日记:制作一个简单的内存外挂
C语言C++学习俱乐部:765860056
10-11 3512
简单外挂 通过 C 语言编写一个简单外挂,通过api函数修改游戏数据,从而实现作弊功能 对象分析 要用的 API 函数简单介绍 编写测试效果 本次游戏对象为 Super Mario XP 没有更新所以可用任意版本 试玩发现人物血量最大为 10,心最大为 99,命最大为 99 要用的 API 函数简单介绍 HWND FindWindow(LPCTSTR IpClassName,LPCTSTR IpWindowName); 通过类名或窗口名查找,返回窗口句柄 DWORD Get.
外挂分析】SystemCheats外挂分析报告
11-17
外挂分析】SystemCheats外挂分析报告
对一游戏外挂浅浅的分析
Beautiful Attack and Defence
01-28 1291
前言:夜阑静,已是凌晨2:11分,明天还要实习,但这几天在研究一个网页游戏的辅助,也分享下自己的一些笔记和心得,虽然我是个大菜鸟。 真的是很遗憾,今天花了6,7个小时分析,基本上每一行都写了注释,后来分析了另外一个程序,注释和断点都清除了。下次一定要保存好!大家凑合着看吧T T 1.查壳 PEID---->ASPack 2.12 -> Alexey Solodovnikov
【Unity游戏破解】外挂原理分析
20岁爱吃必胜客
03-08 4995
检测APIHook----比如透视,hook 一下图形API的函数,可以通过检测常用的函数是否被hook。C# 是解释型的语言–支持反射-----这个缺陷,可以非常容易恢复打包的函数名,变量名。管人物的高是z这个变量,不停修改人物处在的位置,CE 走坡,走底,锁定Z的变量。VAC(Valve AntiCheat)-----------CSGO用。封锁内存读写----不让在应用层读写内存,上驱动保护的那种。统计异常检测------统计一段时间内游戏崩溃多少次。去找人物的骨骼系统,把准星设置到骨骼就是自瞄了。
针对灰产外挂分析与研究
哆啦安全
01-15 952
分析外挂样本一般的步骤 对外挂样本进行简单的信息分析分析还原外挂样本具体功能实现方式。 分析外挂样本的反检测功能。 1. 对外挂样本进行简单的信息分析 查看文件属性,灰产及外挂的标配语言 “易语言” 通过Exeinfo Pe查壳工具进行对外挂样本查壳,看看发现是没加壳的应用程序。(心里突然咯噔了下,收费的外挂竟然都不做点保护,不对自己的程序负责,就直接把程序在市场上裸奔了) 2.分析还原外挂样本具体功能实现方式 2.1 网络验证功能 外挂
笔记本触控屏技术分类对比分析-外挂式工艺成熟、制程简单、成本.docx
11-12
标题中的“笔记本触控屏技术分类对比分析-外挂式工艺成熟、制程简单、成本”指的是探讨笔记本电脑中触控屏技术的不同类别,特别是强调外挂式触控屏的优势,包括工艺成熟、制造过程简单以及成本较低。描述中提到了...
简易打字游戏文件及对应的外挂
01-28
标题中的“简易打字游戏文件及对应的外挂”暗示了这是一个用C语言开发的打字游戏项目,同时包含了与之相关的辅助工具或外挂程序。这个项目特别适合那些正在学习软件安全基础知识的人,因为它涵盖了诸如内存读写和DLL...
C语言C++制作游戏外挂一个简单的内存外挂
热门推荐
03-14 2万+
通过 C 语言编写一个简单外挂,通过 API 函数修改游戏数据,从而实现作弊功能 对象分析 要用的 API 函数简单介绍 编写测试效果 总体评价 下面是小编整理好的一套C/C++资料,加小编C/C++编程学习群825414254获取系统性学习C/C++的学习资料 对象分析 本次游戏对象为 Super Mario XP 没有更新所以可用任意版本 试玩发现人物血量最大为 10,心最大为 99,...
UG通用模具设计外挂
12-08
蓝帽模具设计UG外挂v3.0是该系列的一个具体版本,可能包含以下特性: 1. **模块化设计**:提供预设的模具组件库,如模仁、浇口、滑块等,只需简单选择或参数化设置,即可快速生成所需部件,节省大量手动建模时间。 ...
TC天使插件4.018
07-02
TS插件使用方法 TS插件遵循COM规范编写支持任何高级语言调用 1、注册插件. 使用TS之前,首先必须得先注册TS—>注册 方法1: 开始->运行-> "Regsvr32 c:\\TSPlug.dll" 方法2: 用TC自带的 "TC插件辅助工具" 注册 方法3: 用TC注册命令 help.regdll("c:\\TSPlug.dll",true) 2、创建对象. 插件注册成功以后,我们接下来要做的工具就是如何使用插件里的功能—>创建对象 方法1: ts=com("ts.tssoft") (注意:这里创建的对象在TC里面是区分大小写的) 3、调用接口. 插件注册成功了,对象也创建成功了,接下来我们就可以开始工了—>接口的调用 代码还是TC的代码,简单写两个吧,大家都懂的 ret=ts.BindWindow(hwnd,"dx","dx","dx",0) if(ret==1) help.messagebox("绑定成功") else help.messagebox("绑定失败") endif
天使插件测试工具
04-17
天使插件TSPlug.dll的调试工具,支持4.019最新版天使插件
【天使插件】源码+BIN(类似大漠的键鼠模拟插件)
08-14
在网上找的开源代码,同大漠功能一样的天使插件。原本是一家公司自用的商业代码,后来该公司转型决定开源。
分析游戏外挂样本的9大诀窍
深耕安全技术研究
12-22 5203
分析外挂需要考虑是否修改了代码,数据,是否有模块注入。可以用pchunter中dump外挂运行前后的代码段来判断。如果发现外挂有驱动文件,那么就把驱动文件dump出来,用ida静态分析下,如果发现有大量的读写操作。驱动文件肯定会和应用层进行通信,我们可以hook DeviceIOControl来打印通信的数据。 外挂无注入模块,猜测通过跨进程读写内存,修改代码或模拟协议实现。使用netpeeker网络抓包工具,观察外挂网络收发包情况,发现并没有大量发包过程,猜测可能通过跨进程读写实现或修改代码实现。...
用nodejs写一个yys挂机脚本
huzzzz的博客
10-04 4358
用nodejs写一个yys外挂 为什么要用node来写 曾经用python写过一个自用御魂脚本,作为一个前端码农,就考虑能不能用js实现,js如何来使用天使插件(TSPlug.dll)实现后台操作呢?经google,github发现,已经有大佬实现了轮子winax,能够调用通用COM组件。之后用js写脚本的想法开始付诸行动。 封装TSPlug 考虑为了更方便的调用TSPlug的一些方法,自己动手用...
手游端游辅助需要掌握那些语言
douluo998的博客
03-28 2090
而要实现这些功能一般都需要先将外挂模块注入到目标进程(在android上可以利用系统的机制来达到不需要注入模块就能修改数据段,这个后面的文章会有介绍), 之后再通过直接写进程空间的方式修改数据, 可以通过patch代码或者动态hook的方式修改游戏逻辑。另外有时候IDA的基本功能不能满足分析的要求时需要我们自己来定制一些功能, 所以还需要了解IDC脚本的编写和使用一些现有的实用插件, 可以参考《IDA Pro权威指南(第2版)》的第十五章和第二十三章。但是针对不同语言编写的逻辑会有不同的修改方法。
[游戏分析] 游戏逆向
LYSM
02-07 2840
射击类 FPS游戏:实现D3D劫持透视 (API Hook) FPS游戏:实现GDI方框透视 (三角函数)
IDA+OD双剑合璧=逆向无敌
liujiayu2的专栏
06-19 4932
标 题: 【原创】IDA+OD双剑合璧=逆向无敌 作 者: Tennn 时 间: 2015-12-12,22:25:19 链 接: http://bbs.pediy.com/showthread.php?t=206437 我这一周学是薛老师讲课, 大多挺深,我就列出一个典型的吧。  准备工具: ollydbg  ida   vs2012   ----------------
外挂的定义、分类及实现原理
wyzworld的博客
01-12 1万+
外挂的定义 一般意义上的外挂即是通过非正常手段破坏游戏的正常数据以达到某些非法目的工具。除了常见的诸如修改角色伤害,金币数量等的外挂,包括模拟器和脚本严格来说都属于外挂外挂的分类 以上两类外挂的核心区别是是否需要依赖游戏客户端,辅助版需要,而破解版多不需要。 辅助版外挂 1、专用插件 这类外挂属于定制型,只针对特定游戏。在Android下为so文件形式,在ios下为dylib文件形式。 2、通用工具 a、内存修改器 用来搜索、修改游戏的内存数据。 b、变速器 可加快/减慢.
一个烽火戏诸侯软件工程需求分析
最新发布
05-10
烽火戏诸侯是一款策略类游戏,需要有以下软件工程需求分析: 1. 用户需求分析分析用户对游戏的需求,包括游戏玩法、操作方式、游戏难度、游戏乐趣等方面。 2. 功能需求分析分析游戏所需的功能,包括地图编辑、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值