猴子们不要在到处找不掉线的方法了进来看看吧

社区服务
高级搜索
猴岛论坛DNF地下城与勇士猴子们不要在到处找不掉线的方法了进来看看吧
发帖 回复
正序阅读 最近浏览的帖子最近浏览的版块
2个回复

猴子们不要在到处找不掉线的方法了进来看看吧

楼层直达
8915759

ZxID:1662585

等级: 少尉
为挂而生,不怕被封.............  &

举报 只看楼主 使用道具 楼主   发表于: 2008-12-23 0
这几天为了找不掉线的方法跑变了不说所有论坛也去了一大部分,但是对于这个掉线的问题都没有什么好的解决办法,我感觉咱们猴岛的版主还是不错的,别的论坛的方法都在咱们论坛上被版主点亮或者版主发的这说明了咱们的版主狠有责任感,也在狠努力的帮助大家找G找方法,各大论坛各有各的说明,但是都无法彻底的解决掉线问题....封号问题的主要原因是TX瞒着我们在我们的电脑上装了特殊的服务项目..{编程高手可以仔细看看,我把人家论坛点亮的如何删除TX封号的检测服务,一般人看不懂}今天几个号都封了,只因为开了金山网膘
金山错就错在出了游侠还用了网彪
我错就错在用了金山的DD - -

无聊中来研究一下TX的反WG

用FILEMON跟踪了下DNFCHINA.EXE QQLOGIN.EXE DNF.EXE
发现了几个DD
首先DNFCHINA做的事情是啥?
文件效验
效验文件的大小啥的
效验完毕
开始读取qqlogin.exe
然后就是继续效验
效验完毕后读取dnf.exe
4096字节一读取
一直读取到整个文件结束
然后建立印象文件,也就是dnf.local
把dnf.exe加入启动代码写入dnf.local
换句话,我们玩的就是印象,而不是dnf在内存中的镜象
开始我以为这就是找不到hinst的原因

在一分析,不对啊
貌似还少了点
因为dnf.local也隐藏起来了
肯定还有其他什么DD

然后查看系统信息,查看事件日志
找到这么个DD
tessafe服务成功发送一个开始控件
这个DD哪里来的哈?
去查查系统管理里的服务项目
没啊

在去查注册表
哦,找到了
在hklm/system/currentset/service/tessafe里
有这么点DD
displayname    tessafe //这个就是服务名啦
imagepath \??\c:\windows\system32\tessafe.sys  //服务调用地址
start  0x0000003  //自动启动类型的
type  0x0000001  //恩,是驱动类型的

头大ing


我的C盘是NTFS的
想了下
把start改成4  //恩,禁用好了嘛
然后把system32下的tessafe.sys删除,建立一个字节为0的目录,名字改成tessafe.sys,然后加入只读系统属性
然后把访问权限改成禁止任何人运行(包括administrators组 和 system)
重新启动

在查下日志,恩,服务没启动
刚想HAPPY下
进游戏看看

?还是被封?还有啥问题呢

在查下日志,MMD,他又开下来了

不过这次路径换成了 e:\dnf\tessafe.sys了

晕,忘记他的校验了

其实只要想办法禁止dnfchina访问注册表就好。。

比如说用普通权限(USERS组)运行啥的
或者说HOOK那些注册表函数
人比较懒,等会说

其实如果不加载成服务的话
啥都能杀
所以这步其实蛮关键的

然后又想了下
用IDA把tessafe.sys反汇编了下
看看这DD到底做虾米的

恩,引入模块有2个:
ntoskrnl.exe和hal.dll

真TMD黑

简单看了下

也就是建立一个列表

服务启动后

所有新建立的进程(也就是你们说的程序啦)
都会在里面做个表

然后HOOK住查找进程的函数
查看有这几类:
查找其他进程句柄的,插int3的(动态调试),调用SOCK函数的
恩,在划分一块内存区域
把这些DD写里面
在把自己卸载了
让你没法查出来
也没法找出内存地址
恩,真黑
中间还加了不少花指令

但这种方法是虾米意思?
编程的都知道
他自己放弃了指针
自己都找不到那块内存地址
这叫离散指针。。。
这块内存在重启前是别想找到了

WINDOWS的内存管理里很明确的说明了这种方法是很危险的

你不知道不受控制的内存里面有啥危险。。

于是蓝屏 100%CPU都发生了。。。

顺便说下。。。DNFchina还检查你的桌面和IE的设置情况。。。然后在发送到TX去
让TX的做统计

没这些数据估计TX也做不到那么大

但这些都是在没告诉你的情况下偷偷进行的

也许那啥用户协议里有

不过估计没几个会看的

说到低,说啥呢

想要干掉这个DD,首先得不让他成为服务

别让他加载
              {不是高手可以无视,希望能有高手弄明白总结下公布下,那么咱们就没封号的风险了】        在说一下,使用的DG刷图方法,首先组个人,那个人是队长,然后你属性直接调秒怪,到BOSS在开3S吸怪随便开,然后过完在换线,必须换不换就掉。。。。。。     
猴岛骗子真不少,但是像你这样的骗子还真不好找。。。
taozizzz

ZxID:2632154

等级: 准尉
举报 只看该作者 板凳   发表于: 2008-12-23 0
 
8915759

ZxID:1662585

等级: 少尉
为挂而生,不怕被封.............  &

举报 只看该作者 沙发   发表于: 2008-12-23 0
自己的SF不让人......                    天气好冷,祝大家玩的开心。。。咱先去ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
猴岛骗子真不少,但是像你这样的骗子还真不好找。。。
« 返回列表
发帖 回复