飞飞挂与勇士挂的技术解析与对比_DNF模型修改

ZxID：2492121

Always Online

举报只看楼主使用道具楼主发表于: 2008-12-01 0

飞飞挂说到底还是内存修改技术
原理是用injectloader.dll把drv.dll注射进dnf.exe的内存空间
其实如果有耐心还是能搞出修改的地址的
但开DNF调试确实是个比较恶心的事，本人笔记本，开了DNF CPU100%，一调试就蓝屏，放弃这种方法说到低还是怕TX的更新修改地址
所以飞飞要接二连三的升级才能满足大家的需要
另外说下，验证部分在drv.dll里，理论上可以通过修改ws2_32.dll来屏蔽他的验证部分，不过这个修改起来很复杂
因为他和DNF.exe在一起，你放个修改过的ws2_32.dll还要考虑DNF的通讯问题
让偶吃惊的是所谓的勇士外挂，能不能用偶不保证，偶机器不好，玩DNF经常性的假死，所以已经转入研究行列
太牛X了勇士外挂，作者肯定是个牛人
为什么这么说？听我下面分解
首先确定一点，勇士挂的执行方式，勇士挂和飞飞挂不一样的地方是他并不通过注册表的appinit_dll项目加载
大家都知道
DLL注射基本上有三种方法：
1 注册表里APPINIT_DLL vZ0K1UTEXY
2 用HOOK注射
3 在远程进程里开辟空间直接注射进去用CreateRemoteThread()函数进行通信
但是勇士他不，他用了只有在内核级别病毒才常用的一种技术，DLL 木马
==，这个木马和DNF木马无关系，他只是一种比喻
大家都知道，WINDOWS下程序要运行，要调用一些系统的函数，也就是API函数
API函数MS封装在他的DLL里，通过loadlibrary函数掉用此DLL，然后才能用他的export( 导出）函数
DLL木马就是修改这些系统DLL，自己修改DLL里的输出函数，当程序调用这些函数的时候会先执行他的代码，最后才执行这些API函数，有点类似于我们把动态地址修改成静态地址那种方式
不过实现上困难许多
勇士外挂，只有2个程序，DNFTOOLS.dll和winmm.dll
其中DNFTOOLS.dll是用Obsidium v1.3.0.4 加的壳，一种用的比较稀少比较另类的东西
OD都无法调试，除非你脱壳先。。。。。
知道DNFTOOLS.dll里有啥吗？偶发现了5个输出函数
OnChangeDamage() ' 修改攻击力的
OnLocalGameEvent() '分析DNF消息的
OnObjectEVent() ' 分析物品消息的
OnRecv()
OnSend()
'封包接受发送函数！
这才是传说中的封包外挂！
理论上TX不请韩国方面修改加解密函数
他就无法禁止！这个挂基本能用好长时间！直到大的更新！
天啊~~~ 封包挂出来了！！！
外挂中的最高境界啊！！！
膜拜吧！！！
在说他的加载方式
他修改了winmm.dll里IAT（别问我是啥，自己研究下PE结构去），导入了dnftools.dll
然后让DNF运行的时候自动加载dnftools.dll
实现外挂功能
多么牛X多么无敌的设计
TX估计想封的话只有检测winmm.dll的MD5了，不过由于系统不同，所以MD5也会不同
TX要头大了
多么伟大的技术
让我看到了外挂的明天，恐怖的技术，绝对是现在外挂技术的最高峰！
封包挂，诡异的加载方式，病毒式的写作手法
飞飞在大家都没挂的时候出挂，技术已经属于专业外挂组级了
可是，勇士一出，飞飞黯然失色！
比技术！勇士大大的高于飞飞~~~~~~~~~~
PS：我只是从技术角度进行了分析，不保证勇士能用，也不保证勇士里有无木马后门，壳没脱掉，一切空谈
倒是飞飞里有邮件自动发送控件，做啥的不清楚，也不想清楚！

打赏收藏新鲜事

回复引用

飞飞挂与勇士挂的技术解析与对比

帖子

飞飞挂与勇士挂的技术解析与对比

相关主题