早就发现了的~今天给大家看看[外挂的内幕]

1sa

以下是QQ聊天资料


DJ.鱼恋飞 -- pathletboy 也就是 ItSong 的做外挂的人
イ薩 --- 1sa



DJ.鱼恋飞?
イ薩:你在SHELL里加了一个HOOK和UNHOOK的下面的语句是什么意思?

DJ.鱼恋飞啥？
イ薩:
イ薩:给你图
イ薩:

DJ.鱼恋飞自己反汇编研究吧~
イ薩:难道是屏蔽这些地址成127.0.0.1?
イ薩:我用SHELL提取看了看的~你为什么把IE的REG也改了?
イ薩:这样可以被称做是破坏和后门程序了

DJ.鱼恋飞谁改IE了？

DJ.鱼恋飞你自己不懂
イ薩:不是

DJ.鱼恋飞自己好好去学反汇编
イ薩:只要开着你这个程序这个地址就上不去
イ薩:
イ薩:是吧!
イ薩:你给注入到哪个DLL里了?
イ薩:

DJ.鱼恋飞你反汇编不是就都知道了？
イ薩:现在没时间看那么大串的代码
イ薩:程序的原文件我已经提交给中国反病毒中心了
イ薩:你连做程序员的基本守则都没有遵守..

DJ.鱼恋飞你自己机子中病毒了

DJ.鱼恋飞advapi32.dll

DJ.鱼恋飞自己查去吧
イ薩: RUNDLL32里吧,但是那个advapi32.dll的数据是你导入的我说得没错吧
イ薩:数据流我不会查..况且是本地数据流

DJ.鱼恋飞随便你啊，反正我的程序不是病毒。正常防破解而已
イ薩:重起之后还是有效果啊是本地数据流吧!

DJ.鱼恋飞废话。反正不是病毒

DJ.鱼恋飞随便你怎么查好了

DJ.鱼恋飞你提交也米用

DJ.鱼恋飞你水平不到家，查不出哪儿被改了

DJ.鱼恋飞最基本的破解工具你也没掌握
イ薩:即使我没有破解当然照样也是只要运行了这个程序一次的电脑就上不去的网站了吧

DJ.鱼恋飞随便你怎么想咯，反正不是病毒~

当然~这个就是开过了无中生有无限戒指版本的后果..

1sa

大家不相信有木马就去查以下路径
C:\WINDOWS\system32\drivers\etc
用记事本打开 hosts 文件 没有扩展名的.

删除掉里面被恶意代码修改的所有的数据就可以了.

或者在运行中打CMD然后PING一下 bbs.1sa.cn

如果IP是127.0.0.1就说明你的HOST表被修改了
他把HOST表改了

当然还有一个advapi32.dll 的数据流后门~暂时没办法读数据流

还是请大家找找这方面的专家吧!