别看题目挺抢眼的,其实一点不难,估计gg平台也是初试驱动,几乎没有保护驱动,所以可以很轻易地被干掉。
原理上篇文章已经说了,是SSDT的NtOpenProcess被Hook了,还原之即可。不知道gg会不会再次hook,总之在开挂前开一次我放的这个干掉gg就可以开挂了——此程序只负责干掉gg驱动下的hook,至于gg平台本身的检测war3内存等概不管之,请自行解决!
在驱动面前,本人也是菜鸟。此程序只在xp sp2下测试通过,其他平台可能会有问题,使用此程序可能导致蓝屏,请在使用之前保存相关工作或文档,切记!如果首次运行成功,以后就不会有问题了。
下载地址:http://www.qiannao.com/space/show/lynnux/上传分享/2008/11/19/干掉GG.rar/.page
GG竞舞台终于还是走向了驱动,进了内核,魔兽外挂作者们要加油啊!
看了留言板,我特意去下了个竞舞台,运行起了war3,进程里看了下,并没有被隐藏,于是打开lynnMH用内存patch方式,结果提示“打开war3进程失败!”,我差不多知道原因了,是OpenProcess出错。
OpenProcess差不多是内存修改war3进程必用的API,这个出错一般是被hook,hook分两大类,一类是ring3级的,一类是ring0级的。于是我打开RootKit Unhooker,SSDT那里直接就显示出来了,是NtOpenProcess被Hook了。
解决办法很简单,在RootKit Unhooker那里选中NtOpenProcess那栏,然后右键菜单,选择UnHook Selected即可。
驱动内核我是才学,不多加评论了,游戏平台进入ring0级别那么一大批ring3级的外挂都会失效咯,HOHO~~~(有点幸灾乐祸的味道)
哎,继续学习吧,不陪你们玩咯~~~
今天搞了个VB的小CrackMe,有一些心得几下来,不然过不久就都忘了,如果此文对你有帮助,我也会倍感欣慰
1.VB的变量
ds:[0040100C]=7349986E (msvbvm60.__vbaVarMove)
Var就是变量了,但是实际值是在指针偏移+8处,比如这个0012F49C变量指针,其实际值是31 00 00 00
0012F49C 02 00 00 00 00 00 00 00 31 00 00 00
对于字符串变量,31 00 00 00就是一个字符串指针
2.VB对API的调用
VB对API调用必然会用到这个函数
004011B0 .- FF25 68104000 jmp dword ptr [<&MSVBVM60.DllFunctio>; msvbvm60.DllFunctionCall
即DllFunctionCall,对其下断,保准对api的掉用一个都跑不掉
而且就在调用DllFunctionCall上面不远处就有那个api的字符串,比如
004025D8 . 75 73 65 72 3>ascii "user32",0
004025DF 00 db 00
004025E0 0C db 0C
004025E1 00 db 00
004025E2 00 db 00
004025E3 00 db 00
004025E4 . 4D 65 73 73 [...]