——————发个技术性的话题-截至(小晟刚刚发的帖子)加详细等高手研究(转)——————

社区服务
高级搜索
猴岛论坛DNF地下城与勇士——————发个技术性的话题-截至(小晟刚刚发的帖子)加详细等高手研究(转)——————
发帖 回复
正序阅读 最近浏览的帖子最近浏览的版块
444个回复

——————发个技术性的话题-截至(小晟刚刚发的帖子)加详细等高手研究(转)——————

楼层直达
kiss-

ZxID:1912792

等级: 大校
⿹張口┼yッゼes閉ゑ゛㏎〆╪〥ńТ゛口╃耶▍↘﹩の

举报 只看楼主 使用道具 楼主   发表于: 2008-10-17 0
记得顶啊 `



无聊中来研究一下TX的反WG

用FILEMON跟踪了下DNFCHINA.EXE QQLOGIN.EXE DNF.EXE
发现了几个DD
首先DNFCHINA做的事情是啥?
文件效验
效验文件的大小啥的
效验完毕
开始读取qqlogin.exe
然后就是继续效验
效验完毕后读取dnf.exe
4096字节一读取
一直读取到整个文件结束
然后建立印象文件,也就是dnf.local
把dnf.exe加入启动代码写入dnf.local
换句话,我们玩的就是印象,而不是dnf在内存中的镜象
开始我以为这就是找不到hinst的原因

在一分析,不对啊
貌似还少了点
因为dnf.local也隐藏起来了
肯定还有其他什么DD

然后查看系统信息,查看事件日志
找到这么个DD
tessafe服务成功发送一个开始控件
这个DD哪里来的哈?
去查查系统管理里的服务项目
没啊

在去查注册表
哦,找到了
在hklm/system/currentset/service/tessafe里
有这么点DD
displayname    tessafe //这个就是服务名啦
imagepath \??\c:\windows\system32\tessafe.sys  //服务调用地址
start  0x0000003  //自动启动类型的
type  0x0000001  //恩,是驱动类型的

头大ing


我的C盘是NTFS的
想了下
把start改成4  //恩,禁用好了嘛
然后把system32下的tessafe.sys删除,建立一个字节为0的目录,名字改成tessafe.sys,然后加入只读系统属性
然后把访问权限改成禁止任何人运行(包括administrators组 和 system)
重新启动

在查下日志,恩,服务没启动
刚想HAPPY下
进游戏看看

?还是被封?还有啥问题呢

在查下日志,MMD,他又开下来了

不过这次路径换成了 e:\dnf\tessafe.sys了

晕,忘记他的校验了

其实只要想办法禁止dnfchina访问注册表就好。。

比如说用普通权限(USERS组)运行啥的
或者说HOOK那些注册表函数
人比较懒,等会说

其实如果不加载成服务的话
啥都能杀
所以这步其实蛮关键的

然后又想了下
用IDA把tessafe.sys反汇编了下
看看这DD到底做虾米的

恩,引入模块有2个:
ntoskrnl.exe和hal.dll

真TMD黑

简单看了下

也就是建立一个列表

服务启动后

所有新建立的进程(也就是你们说的程序啦)
都会在里面做个表

然后HOOK住查找进程的函数
查看有这几类:
查找其他进程句柄的,插int3的(动态调试),调用SOCK函数的
恩,在划分一块内存区域
把这些DD写里面
在把自己卸载了
让你没法查出来
也没法找出内存地址
恩,真黑
中间还加了不少花指令

但这种方法是虾米意思?
编程的都知道
他自己放弃了指针
自己都找不到那块内存地址
这叫离散指针。。。
这块内存在重启前是别想找到了

WINDOWS的内存管理里很明确的说明了这种方法是很危险的

你不知道不受控制的内存里面有啥危险。。

于是蓝屏 100%CPU都发生了。。。

顺便说下。。。DNFchina还检查你的桌面和IE的设置情况。。。然后在发送到TX去
让TX的做统计

没这些数据估计TX也做不到那么大

但这些都是在没告诉你的情况下偷偷进行的

也许那啥用户协议里有

不过估计没几个会看的

说到低,说啥呢

想要干掉这个DD,首先得不让他成为服务

别让他加载

想不死机不蓝屏 把注册表删了重新启动后就别动DNF。。。

或者想办法让他不访问注册表

因为这是他唯一的加载方法

就这么多了






PS;你们别说我转帖子了这个不是小晟的原帖!`
      帖子沉了也没什么`!


我这个帖子总比 那些发过期文件 木马 病毒 和骗人的帖子好`!





有人说解决蓝屏问题(CPU100%)就可以了.
  其实蓝屏 没这么简单的! 种类太多

    如果大家想了解蓝屏的话 我可以上传 关于蓝屏的所有解释以及解决方法!

 
  有人提出了我就上传文件`!

供大家研究`!


貌似帖子发早了点`

  现在18号了`!  亏`


蓝屏的原因;




在取消重启后,出现蓝屏死机。蓝屏的主要内容为:A problem has been detected ……DRIVER_IRQL_NOT_LESS_OR_EQUAL……,最后是:
Technical information:
Stop:0x000000D1(0XF97B4F59,0X00000002,0X00000000,0XF97B6F59)
ALCWDM.SYS-ADDRESS F97B4F59 Base at F9783000,Patestamp 3b28910a

STOP 0x000000D1 DRIVER_IRQL_NOT_LESS_OR_EQUAL (0x0,0x0,0x0,0x0)
参数
1 - 引用的内存
2 - IRQL
3 - 值 0 = 读操作,1 = 写操作
4 - 引用内存的地址

原因
当启用 Driver Verifier 功能并且驱动程序使用了不正确的地址时,会发生此问题。注意错误消息中可能列出了导致此问题的驱动程序。
解决方案
要解决这个问题:
禁用所有第三方筛选器驱动程序 (filter driver),例如备份程序、病毒扫描程序和磁盘实用程序。
确保您使用的硬件出现在 Microsoft 硬件兼容列表中。
[ 此贴被kiss-在2008-10-18 01:25重新编辑 ]
[sa rang hea yo][sa rang ham ni da]
gs886

ZxID:1431438

等级: 上士
举报 只看该作者 444楼  发表于: 2008-10-18 0
引用
引用第5楼yy10123于2008-10-17 23:24发表的  :
虽然不是很懂,还是顶下LZ。
http://image2.766.com/qianming/dnf/4_41225464278.jpg
6213606

ZxID:1915829

等级: 上等兵
举报 只看该作者 443楼  发表于: 2008-10-18 0
拿刀.
猴鸡薄发

ZxID:2058567

等级: 少尉
举报 只看该作者 442楼  发表于: 2008-10-18 0
应该是真的。可惜看不懂      
q414152570

ZxID:1906442

等级: 少校
上帝.賜我尊大炮.我就去轟炸企鵝總部~轟炸馬花藤全家~BOO

举报 只看该作者 441楼  发表于: 2008-10-18 0
引用
引用第60楼依赖外挂于2008-10-17 23:33发表的  :
一半是我顶的
,
  。。。。。。。。。。。。。。。。。。
q414152570

ZxID:1906442

等级: 少校
上帝.賜我尊大炮.我就去轟炸企鵝總部~轟炸馬花藤全家~BOO

举报 只看该作者 440楼  发表于: 2008-10-18 0
LZ  你太棒啦``我看了半天还没怎么懂呢```
  。。。。。。。。。。。。。。。。。。
qwl4614057

ZxID:1894565

等级: 上校
我会一直支持猴岛的  ★加油★

举报 只看该作者 439楼  发表于: 2008-10-18 0
虾米

楼主留言:

是“什么”的意思!`

我很看好你 ~~~~
zseawq

ZxID:1715562

等级: 中士
辽宁1区

举报 只看该作者 438楼  发表于: 2008-10-18 0
楼主那个女女 挺漂亮
http://ip.91cool.net/img/91cool.gif
在昔日阳光下

ZxID:1772652

等级: 少将
悲剧死

举报 只看该作者 437楼  发表于: 2008-10-18 0
引用
引用第14楼dujiabin于2008-10-17 23:27发表的  :
不懂呢
http://i268.photobucket.com/albums/jj2/zactlion1899/84d444e6.gif
mrye

ZxID:1877260

等级: 上等兵
直至G到消失天与地,不用手练一分钟
举报 只看该作者 436楼  发表于: 2008-10-18 0
有QQ么
http://tools.duowan.com/sig/s/1/1224240072.jpg
woshisdm

ZxID:1864294

等级: 上等兵
好B都让狗日了,大白菜都让猪拱了
举报 只看该作者 435楼  发表于: 2008-10-18 0
死都要顶!!!

楼主留言:

  郁闷我100帖子到了`!

明天才可以发`!

你们帮忙顶下把`!

谢谢了`!

kiss-

ZxID:1912792

等级: 大校
⿹張口┼yッゼes閉ゑ゛㏎〆╪〥ńТ゛口╃耶▍↘﹩の

举报 只看该作者 434楼  发表于: 2008-10-18 0
  还有什么问题`!
[sa rang hea yo][sa rang ham ni da]
kiss-

ZxID:1912792

等级: 大校
⿹張口┼yッゼes閉ゑ゛㏎〆╪〥ńТ゛口╃耶▍↘﹩の

举报 只看该作者 433楼  发表于: 2008-10-18 0
  沉了也没办法`!
[sa rang hea yo][sa rang ham ni da]
mrye

ZxID:1877260

等级: 上等兵
直至G到消失天与地,不用手练一分钟
举报 只看该作者 432楼  发表于: 2008-10-18 0
LZ你有没有看我回的贴?

楼主留言:

  回了`!TX考虑的很周到!

应该是一个高级技术团`!


  花了不少钱!

http://tools.duowan.com/sig/s/1/1224240072.jpg
lhy582605

ZxID:1867679

等级: 上士
举报 只看该作者 431楼  发表于: 2008-10-18 0
顶顶顶
kiss-

ZxID:1912792

等级: 大校
⿹張口┼yッゼes閉ゑ゛㏎〆╪〥ńТ゛口╃耶▍↘﹩の

举报 只看该作者 430楼  发表于: 2008-10-18 0
    郁闷`
[sa rang hea yo][sa rang ham ni da]
mrye

ZxID:1877260

等级: 上等兵
直至G到消失天与地,不用手练一分钟
举报 只看该作者 429楼  发表于: 2008-10-18 0
蓝屏有是有办法....单核的计算机.....芯片还是DDR1 那款...但是现在好像找不到这样的电脑了

楼主留言:

还DDR1内存? 想买都没有了!

http://tools.duowan.com/sig/s/1/1224240072.jpg
kiss-

ZxID:1912792

等级: 大校
⿹張口┼yッゼes閉ゑ゛㏎〆╪〥ńТ゛口╃耶▍↘﹩の

举报 只看该作者 428楼  发表于: 2008-10-18 0
  我发帖子为了给高手研究!
[sa rang hea yo][sa rang ham ni da]
mrye

ZxID:1877260

等级: 上等兵
直至G到消失天与地,不用手练一分钟
举报 只看该作者 427楼  发表于: 2008-10-18 0
不能沉,不过LZ照你的说法 想要破解注册码 也是需要 TX里面的原代码不然打开来也不知道  里面记载的编程到底是什么

楼主留言:

  不是破解注册码

是不让DNF进程修改注册表`

这点比较难`!

http://tools.duowan.com/sig/s/1/1224240072.jpg
kiss-

ZxID:1912792

等级: 大校
⿹張口┼yッゼes閉ゑ゛㏎〆╪〥ńТ゛口╃耶▍↘﹩の

举报 只看该作者 426楼  发表于: 2008-10-18 0
  刷刀玩!`
[sa rang hea yo][sa rang ham ni da]
« 返回列表
发帖 回复