刚上论坛...见到了这个东西...

一看你好牛...

一个主程序26K...带几个易语言的库....他就是G了.... 先给他打1个问号....

言归正转....沙盘运行他看看....他到底是什么...

模块间调用
地址      反汇编                                              目标文件
00401006  call    <jmp.&KERNEL32.ExitProcess>                kernel32.ExitProcess
00401195  call    <jmp.&KERNEL32.ExitProcess>                kernel32.ExitProcess
004011A0  call    <jmp.&KERNEL32.FreeLibrary>                kernel32.FreeLibrary
004011F9  call    <jmp.&KERNEL32.GetModuleFileNameA>          kernel32.GetModuleFileNameA
00401171  call    <jmp.&KERNEL32.GetProcAddress>              kernel32.GetProcAddress
004010BA  call    <jmp.&KERNEL32.LoadLibraryA>                kernel32.LoadLibraryA
0040115C  call    <jmp.&KERNEL32.LoadLibraryA>                kernel32.LoadLibraryA
004010B4  call    <jmp.&KERNEL32.lstrcatA>                    kernel32.lstrcatA
00401156  call    <jmp.&KERNEL32.lstrcatA>                    kernel32.lstrcatA
00401132  call    <jmp.&KERNEL32.lstrlenA>                    kernel32.lstrlenA
004011B3  call    <jmp.&USER32.MessageBoxA>                  user32.MessageBoxA
00401120  call    <jmp.&ADVAPI32.RegCloseKey>                advapi32.RegCloseKey
004010DF  call    <jmp.&ADVAPI32.RegOpenKeyExA>              advapi32.RegOpenKeyExA
00401114  call    <jmp.&ADVAPI32.RegQueryValueExA>            advapi32.RegQueryValueExA


看了下他程序调用的系统的API...打开一看什么都没...

简单介绍一下一些分析其他程序的方法....以后为你辩认是否真的是外挂...还是木马有一定帮助...

下载1个OD...google,baidu上到处是...

附加程序进程...CTRL+A 分析程序

然后bpx* 看看程序调用哪些API,当然这些比你使用CE 要复杂的多....

外挂...
第一:如果没有保护的游戏...必须使用openprocess 打开我们游戏进程进程修改...（除非驱动级打开游戏进程,但是驱动涉及到稳定性问题,搞不好,蓝屏没商量,大家也可以看到很多有保护的游戏,为什么那么多玩家会有蓝屏的问题,道理一样的）
第二:有保护的游戏,必须注入到游戏主程序内部,和一些木马进入游戏的方法是一样的,这样你才可以和游戏是一个共同体..

那这个飞马免费挂第一个方法,他也肯定没那能力,即使有能力,也不可能外挂中带个驱动...不然蓝你没商量....那必须注入游戏主程序中...没有看以任何方式注入游戏内部...

kernel32.ExitProcess(退出进程函数)
kernel32.FreeLibrary(卸载dll函数)
。。。。
就不一个个介绍了...
没看到有1个有用的函数....

其他的就不多说了....估计能看懂的很少...那为什么看不懂呢...自己多去学习...

你能不能捞干的说 整点有用的 你发这东西 谁能看的懂  你厉害 你咋不做G呢

沙发

  坐沙发

另外用过这个程序的...
简单说下...他在注册表下生成了一些无用的东西...
自己手动删除....

004010C7  |.  8D85 F4FEFFFF lea    eax, dword ptr [ebp-0x10C]
004010CD  |.  50            push    eax                              ; /pHandle
004010CE  |.  68 19000200  push    0x20019                          ; |Access = KEY_READ
004010D3  |.  6A 00        push    0x0                              ; |Reserved = 0
004010D5  |.  68 38104000  push    00401038                        ; |Subkey = "Software\\FlySky\\E\\Install"
004010DA  |.  68 01000080  push    0x80000001                      ; |hKey = HKEY_CURRENT_USER
004010DF  |.  E8 36010000  call    <jmp.&ADVAPI32.RegOpenKeyExA>    ; \RegOpenKeyExA
004010E4  |.  83F8 00      cmp    eax, 0x0



在开始->运行->regedit

HKEY_CURRENT_USER\\Software\Software\\FlySky

你会看到的 。。。自己删除....

你以为G都是被说出来的？那有那么简单~人家给你分析是教你怕你上当  你还那么多事BB啥呢                    

哇，火星人，说的我都看不懂

额 说的看不懂 还不是白说 真汗一个 

说直接了  就是飞马不能用 

为什么这里没有DNF热闹呢

楼主你在这装什么？你电脑技术很好？你很好你干嘛不自己做个出来？瞎BB有毛用？真是SD加一横。

沙发

貌似是个高手？

天啊···
高手···
我们要的是免费的GG··
给个用用

呵呵,是我的话都会加个kernel32.OpenProcess来迷惑你,呵呵,是个垃圾

赌东道赌东道赌东道的             

国防经费国家宏观环境的风格啊如果

引用

引用第1楼yu420088859于2009-10-03 11:45发表的  :
你能不能捞干的说 整点有用的 你发这东西 谁能看的懂  你厉害 你咋不做G呢

asdasdasdsasdas

他这是封包代码，，看不懂的别瞎BB，，

自己找G发出来来了还这么多B事，

要不你就他妈别用，，在这BB什么