返回列表 发帖
gbj1

Rank: 1

UID
407075 
帖子
294 
精华
威望
10  
阅读权限
100 
注册时间
2007-2-25 
1# 跳转到 »
发表于 2007-3-27 09:38 | 显示全部帖子
DynTmp0.dat   -> UPX 壳 脱掉分析后确定是SDLoad.dll注入Ragexe.sp2,2个进程互锁。有固定的重定位地址
SDDynDll.dll     -> aspack 包含DynTmp0.dat的内容。在Ragexe.sp2中被调用,用来释放DynTmp0.dat和判断重复。
*.sdp               -> 在Program Files\Common Files\snda shared中,与双开无关。

TOP

gbj1

Rank: 1

UID
407075 
帖子
294 
精华
威望
10  
阅读权限
100 
注册时间
2007-2-25 
2#
发表于 2007-3-27 09:47 | 显示全部帖子
要破解,OD跟进ragexe.sp2,要么message断,要么在DynTmp0.dat的内存code里下断,shift+f9回到Ragexe.sp2领空,把判断过掉,就行了吧。

断线问题,服务器会要求客户端上传自己的chksum,等检查到改过的地方就会踢,建议用内存补丁,不要直接改文件。

TOP

gbj1

Rank: 1

UID
407075 
帖子
294 
精华
威望
10  
阅读权限
100 
注册时间
2007-2-25 
3#
发表于 2007-3-27 09:51 | 显示全部帖子
回4楼,ragexe.sp2消息轮寻的时候为跑到DynTmp0.dat里,要是它不在了,ragexe.sp2就死掉了(不是退出,是无限等待)这个时候可以用OD暂停,看堆栈回到ragexe.sp2里,把这个call nop掉。


我对这个问题到此为止了---------------------------------------------------

[ 本帖最后由 gbj1 于 2007-3-27 09:56 编辑 ]

TOP

gbj1

Rank: 1

UID
407075 
帖子
294 
精华
威望
10  
阅读权限
100 
注册时间
2007-2-25 
4#
发表于 2007-3-27 10:11 | 显示全部帖子
楼上的,我再扫下盲。SD判断的是硬盘上的ragexe.sp2,要修改就要往内存里写,程序检验的时候读的是硬盘上的。

不过我希望SD出官方双开版本。

否则过几天就有人天价卖双开(with 木马)了。

TOP

gbj1

Rank: 1

UID
407075 
帖子
294 
精华
威望
10  
阅读权限
100 
注册时间
2007-2-25 
5#
发表于 2007-3-27 10:23 | 显示全部帖子
...我在公司没ro程序,只能写这样的

TOP

gbj1

Rank: 1

UID
407075 
帖子
294 
精华
威望
10  
阅读权限
100 
注册时间
2007-2-25 
6#
发表于 2007-3-27 10:27 | 显示全部帖子
没验证到而已,换地图会重头开始。

TOP

gbj1

Rank: 1

UID
407075 
帖子
294 
精华
威望
10  
阅读权限
100 
注册时间
2007-2-25 
7#
发表于 2007-3-27 10:46 | 显示全部帖子
我好像还听说过一个叫virtualpc的。。。又好像我家电脑不止1台诶。。。

TOP

gbj1

Rank: 1

UID
407075 
帖子
294 
精华
威望
10  
阅读权限
100 
注册时间
2007-2-25 
8#
发表于 2007-3-27 13:36 | 显示全部帖子
没双开1天半,感觉没什么变化。

TOP

gbj1

Rank: 1

UID
407075 
帖子
294 
精华
威望
10  
阅读权限
100 
注册时间
2007-2-25 
9#
发表于 2007-3-27 14:14 | 显示全部帖子
请您等待断线。。。

TOP

返回列表