关于跑跑卡丁车那个过非法啊,问题很纠结,

社区服务
高级搜索
猴岛论坛跑跑卡丁车关于跑跑卡丁车那个过非法啊,问题很纠结,
发帖 回复
正序阅读 最近浏览的帖子最近浏览的版块
19个回复

[心情分享]关于跑跑卡丁车那个过非法啊,问题很纠结,

楼层直达
小枫工作组

ZxID:17878826

等级: 上尉
举报 只看楼主 使用道具 楼主   发表于: 2012-10-14 0
问题的原因出在暂停的几个ehsvc线程内,有一个或多个线程负责把它们Resume起来。由于某个线程被停止了,导致弹不出发现内存修改信息框(Ehsvc.dll+0x561ca),而直接一个异常崩溃游戏。实则即使你过了非法,那么理应正常情况是还会弹出信息框,但是这里的做法是并不全部Resume。


9条线程EhSvc.dll+0x8bf62对游戏自身进行crc校验。

线程Ehsvc.dll+0x561ca与游戏通信(在游戏的非法代码过滤CALL已经在信息框被关闭后产生异常)。[这个不能暂停]

线程Ehsvc.dll+8996a调用驱动。

解决的方法:
    有心的朋友可以自己想想看,我认为不会太难。

[ 此帖被小枫工作组在2012-10-14 04:01重新编辑 ]
本帖de评分: 2 条评分 DB +2
DB+1 2012-10-14

不是说公开卡水源码吗?留了邮箱也不见你发啊.

DB+1 2012-10-14

牛人一个,呵呵

小义60e8

ZxID:20764511

等级: 禁止发言
举报 只看该作者 19楼  发表于: 2012-10-15 0
看看可饿过头认为行业
心中带点骚丶

ZxID:19788463

等级: 中校
药药切克闹。煎饼果子来一套。#
举报 只看该作者 18楼  发表于: 2012-10-14 0
什么意思?   看不明白
 い 我对同桌说我同桌是猪,结果同桌回我一句,你同桌才是猪呢。
冷落清枫

ZxID:19583375

等级: 上将
多情自古伤离别   更那堪冷落清秋节
举报 只看该作者 17楼  发表于: 2012-10-14 0
回 楼主(小枫工作组) 的帖子
手动?
情人總分分合合

ZxID:19445947

等级: 一代君主
成王败寇,一念之差

举报 只看该作者 16楼  发表于: 2012-10-14 0
布吉岛
装B丶bi踹烂o

ZxID:18172019

等级: 大元帅
配偶: 牛奶糖oo
┏━┓       ┃一┃爱生活爱金钱 ┃队┃爱家人爱女人 ┗━┛

举报 只看该作者 15楼  发表于: 2012-10-14 0
原来你是跑版的
清静梵音

ZxID:19432393

等级: 元帅
分享你我他

举报 只看该作者 14楼  发表于: 2012-10-14 0
回 12楼(小枫工作组) 的帖子
强悍,顶一下
神奇小哥

ZxID:18441819

等级: 元帅
久别了,再见了。

举报 只看该作者 13楼  发表于: 2012-10-14 0
高手啊

际遇之神

奖励

神奇小哥打麻将胡了个对对发,进帐 5DB

从此安心研究潜水神功

小枫工作组

ZxID:17878826

等级: 上尉
举报 只看该作者 12楼  发表于: 2012-10-14 0
回 9楼(pp新手) 的帖子
没什么方法知道,用肉眼看。
小枫工作组

ZxID:17878826

等级: 上尉
举报 只看该作者 11楼  发表于: 2012-10-14 0
回 6楼(pp新手) 的帖子
与服务器断开连接是卡丁车的检测。
弹出信息框说发现内存修改那是Ehsvc的检测。
对不同的错误,采用不同的处理方法,直接返回函数,却没有停止掉 ehsvc,也就是只单纯屏蔽掉信息框,但是crc的检测依然在继续,目前发现一条线程,是基于卡丁车自身,专门用来检测过非法位置的。
[ 此帖被小枫工作组在2012-10-14 13:42重新编辑 ]
清静梵音

ZxID:19432393

等级: 元帅
分享你我他

举报 只看该作者 10楼  发表于: 2012-10-14 0
回 8楼(红河) 的帖子
已经发到猴岛上了,你艘一下就知道了
清静梵音

ZxID:19432393

等级: 元帅
分享你我他

举报 只看该作者 9楼  发表于: 2012-10-14 0
回 楼主(小枫工作组) 的帖子
另外我想再问下,你咋知道那么多ehsvc线程每条都是干啥的 ,这个有啥方法知道啊?

际遇之神

惩罚

上厕所误入女厕,被如花发现,当场被如花OOXX ,损失DB6

红河

ZxID:1028709

等级: 上将
举报 只看该作者 8楼  发表于: 2012-10-14 0
不是说公开卡水源码吗?留了邮箱也不见你发啊.
醉人R

ZxID:17314090

等级: 中将
          ┐          爱猴岛      └

举报 只看该作者 7楼  发表于: 2012-10-14 0
谢谢分享  
yo富裕年轻
vx:PLA-9999999
清静梵音

ZxID:19432393

等级: 元帅
分享你我他

举报 只看该作者 6楼  发表于: 2012-10-14 0
回 3楼(小枫工作组) 的帖子
半夜还在研究啊?精神可嘉,不过方法不可取哈,你说的那个push ebp直接改为ret,我以前试过,会与服务器断开链接 ,问下,你用什么工具调试的?我在hs启动前能一直跟踪,hs启动后,驱动被加载,那几个内核函数被ssdt hook后(例如 ntreadvirtualmemory等)就不能看到跑跑内存了 ,不过可以附加方式打开跑跑
仅有的情绪

ZxID:20189415

等级: 中将
最近有点忙,有事戳我企鹅。

举报 只看该作者 5楼  发表于: 2012-10-14 0
我好懒的说,这种东西都懒得研究- -
woshishen9

ZxID:18737215

等级: 少将
除了刷,别无所好
举报 只看该作者 4楼  发表于: 2012-10-14 0
高人,佩服,留名
小枫工作组

ZxID:17878826

等级: 上尉
举报 只看该作者 地板   发表于: 2012-10-14 0
(比较简便的解决方式是,0x8bf62线程暂停,0x561ca不暂停,8996a不要暂停,也千万别结束,然后再找到N条调用ResumThreade的线程[过不了保护的同志可以使用Hook ResumeThread看一下是哪个线程调用了这个函数并以Ehsvc的句柄传参],然后Patch掉恢复代码,或者干脆一点点把ResumeThread Hook后直接返回1,不过这种理想的方法理想中应该是会出错的,原因自究。)
小枫工作组

ZxID:17878826

等级: 上尉
举报 只看该作者 板凳   发表于: 2012-10-14 0
  1. 006C4140 - 55                         - push ebp
  2. 006C4141 - 8b ec                      - mov ebp,esp
  3. 006C4143 - 81 ec 64 02 00 00          - sub esp,00000264
  4. 006C4149 - 57                         - push edi
  5. 006C414A - 89 8d a4 fd ff ff          - mov [ebp-0000025c],ecx
  6. 006C4150 - c6 45 fb 00                - mov byte ptr [ebp-05],00
  7. 006C4154 - 68 f4 81 af 00             - push 00af81f4 : [""kartRider""]
  8. 006C4159 - 8d 45 fc                   - lea eax,[ebp-04]
  9. 006C415C - 50                         - push eax
  10. 006C415D - e8 fe 6f 2c 00             - call 0098b160
  11. 006C4162 - 8b c8                      - mov ecx,eax
  12. 006C4164 - e8 87 71 2c 00             - call 0098b2f0
  13. 006C4169 - 8b 4d 08                   - mov ecx,[ebp+08]

006C416C - 89 8d a0 fd ff ff          - mov [ebp-00000260],ecx //由线程0x561ca调用时传递进来的非法错误代码。ECX。
  1. 006C4172 - 81 bd a0 fd ff ff 08 03 01 00 - cmp [ebp-00000260],00010308 : [""clude=C:\Program Files\Microsoft Visual Studio\VC98\atl\incl...""]
  2. 006C417C - 77 76                      - ja 006c41f4
  3. 006C417E - 81 bd a0 fd ff ff 07 03 01 00 - cmp [ebp-00000260],00010307 : [6C006300]
  4. 006C4188 - 0f 83 b8 01 00 00          - jae 006c4346
  5. 006C418E - 81 bd a0 fd ff ff 02 03 01 00 - cmp [ebp-00000260],00010302 : [00690000]
  6. 006C4198 - 77 35                      - ja 006c41cf
  7. 006C419A - 81 bd a0 fd ff ff 01 03 01 00 - cmp [ebp-00000260],00010301 : [69000000]
  8. 006C41A4 - 0f 83 04 03 00 00          - jae 006c44ae
  9. 006C41AA - 81 bd a0 fd ff ff 02 01 01 00 - cmp [ebp-00000260],00010102 : [""and Settings\Administrator\Application Data""]
  10. 006C41B4 - 0f 84 f4 02 00 00          - je 006c44ae
  11. 006C41BA - 81 bd a0 fd ff ff 04 01 01 00 - cmp [ebp-00000260],00010104 : [""nd Settings\Administrator\Application Data""]
  12. 006C41C4 - 0f 84 f4 01 00 00          - je 006c43be
  13. 006C41CA - e9 c7 03 00 00             - jmp 006c4596
  14. 006C41CF - 81 bd a0 fd ff ff 03 03 01 00 - cmp [ebp-00000260],00010303 : [6E006900]
  15. 006C41D9 - 0f 84 ef 00 00 00          - je 006c42ce
  16. 006C41DF - 81 bd a0 fd ff ff 06 03 01 00 - cmp [ebp-00000260],00010306 : [""nclude=C:\Program Files\Microsoft Visual Studio\VC98\atl\inc...""]
  17. 006C41E9 - 0f 84 bf 02 00 00          - je 006c44ae
  18. 006C41EF - e9 a2 03 00 00             - jmp 006c4596
  19. 006C41F4 - 81 bd a0 fd ff ff 04 07 01 00 - cmp [ebp-00000260],00010704 : [""INDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Progr...""]
  20. 006C41FE - 77 31                      - ja 006c4231
  21. 006C4200 - 81 bd a0 fd ff ff 01 07 01 00 - cmp [ebp-00000260],00010701 : [49005700]
  22. 006C420A - 0f 83 9e 02 00 00          - jae 006c44ae


而且那本身push ebp 改成 ret的改法就犯了个常规错误...



[ 此帖被小枫工作组在2012-10-14 04:12重新编辑 ]
龙神斗斗虎

ZxID:18410899

等级: 中校
心意

举报 只看该作者 沙发   发表于: 2012-10-14 0
很深奥啊 看不懂
« 返回列表
发帖 回复