LOL无限视距单exe文件来过掉LOL检测
LOL无限视距单exe文件来过掉LOL检测自己也编译了一份不同于过检测的无限视距程序。
为了达到效果,我把无限视距调用的模块和过检测版的模块调用的一模一样,。
这里可以解答为什么过检测版本的exe单程序会修改主页,因为过检测版本调用了懒人模块的无驱读写,调用懒人模块就会修改主页为2345.
这里其实不太明白为什么原作者不用其他模块的无驱读写,偏要使用懒人的。
在这里有必要强调,并不是懒人模块的无驱读写能过检测,是因为作者利用了封包拦截技术。
接着分析,作者封包拦截用的是超级模块
如图所示,作者通过调用super-ec来实现封包拦截。
可惜我技术有限,研究不出其他的。
GetSystemWow64DirectoryA这个DLL命令,目前我在百度上找不到参数,
查询API库只能找到GetSystemWowDirectoryA这个命令,调用kernel32.dll。
接着,sendrecV WSARecvWSASend 找到的命令如图,调用Super-ec
但是最关键的Connect函数这里卡住了
sleep函数在易语言中的写法为 延时(1000)或延迟(1000)
Comspec这个我还没有弄明白。
ISWow64Process的DLL命令,依然是调用kernel32.dll
复制代码
[*].版本 2
[*]
[*].子程序 系统_是否为Win32平台, 逻辑型, 公开, 检测当前系统是否为Windows 32位系统,返回真则为Win32位系统,返回假为Win64位系统。
[*].局部变量 SysInfo64, SYSTEM_INFO
[*].局部变量 ret
[*]
[*]IsWow64Process (取当前进程伪句柄_ (), ret)
[*]返回 (选择 (ret = 0, 真, 假))
[*].' 如果 (ret = 0)
[*] ' 信息框 (“此应用程序没有运行在x86的64位计算机上的模拟器!”, 0, )
[*].否则
[*] ' GetNativeSystemInfo (SysInfo64)
[*] ' 信息框 (“你的64位系统上的处理器数量:” + 到文本 (SysInfo64.dwNumberOrfProcessors), 0, )
[*].如果结束
复制代码
[*].版本 2
[*]
[*].数据类型 SYSTEM_INFO, , 系统信息;
[*] .成员 dwOemID, 整数型
[*] .成员 dwPageSize, 整数型
[*] .成员 lpMinimumApplicationAddress, 整数型
[*] .成员 lpMaximumApplicationAddress, 整数型
[*] .成员 dwActiveProcessorMask, 整数型
[*] .成员 dwNumberOrfProcessors, 整数型
[*] .成员 dwProcessorType, 整数型
[*] .成员 dwAllocationGranularity, 整数型
[*] .成员 dwReserved, 整数型
复制代码
[*].版本 2
[*]
[*].DLL命令 GetNativeSystemInfo, , "kernel32", "GetNativeSystemInfo"
[*] .参数 lpSystemInfo, SYSTEM_INFO
[*]
[*].DLL命令 IsWow64Process, 整数型, "kernel32", "IsWow64Process"
[*] .参数 hProcess, 整数型
[*] .参数 Wow64Process, 整数型, 传址
[*]
[*].DLL命令 取当前进程伪句柄_, 整数型, "kernel32.dll", "GetCurrentProcess", , GetCurrentProcess
分析到这,就是我目前的能力,可能写的一堆都是废话,只是纯粹的对封包拦截的好奇,
希望有大神能够帮助我解决这些难题。
这样也行。。。? 真是被感动的痛哭流涕…… 不错 支持下 求沙发 秀起来~ LZ是天才,坚定完毕 楼主很给力哈,在此代表需要的人对楼主表示无尽的感激之情
页:
[1]