挂海论坛 › 模块|工具|支持库|素材 › 干掉内存透视追封处理.ec

zss88 发表于 2017-7-29 08:47:44

干掉内存透视追封处理.ec

.版本 2

.子程序 XF438版本干掉内存透视追封处理, 逻辑型, 公开, 纯内存写法，绕过TP在线追封与下线追封，注明：本功能仅在DLL中使用，成功返回真，失败返回假
.局部变量 进程ID, 整数型
.局部变量 透视基址, 整数型

进程ID ＝ 取进程ID (“crossfire.exe”)
' GameRpcs.dll+21CB5E - 0F85 4C2D0000         - jne GameRpcs.dll+21F8B0
' GameRpcs.dll+21CB5E - E9 4D2D0000         - jmp GameRpcs.dll+21F8B0===
' GameRpcs.dll+21CB63 - 90                  - nop
透视基址 ＝ 进程_取EXE模块基址 (进程ID, “crossfire.exe”, “3754A4”)

.判断开始 (写内存字节集 (进程ID, 进程_取EXE模块基址 (进程ID, “GameRpcs.dll”, “3FD795”), 还原字节集2 (“0F85 0A9AC2FF ”)))
    ' 写内存字节集 (进程ID, 进程_取EXE模块基址 (进程ID, “GameRpcs.dll”, “21CB5E”), 还原字节集2 (“E9 4D2D0000 ”))
    ' 写内存字节集 (进程ID, 进程_取EXE模块基址 (进程ID, “GameRpcs.dll”, “21CB63”), 还原字节集2 (“90”))
    ' GameRpcs.dll+21F8CD - 0F84 D6C32400         - je GameRpcs.dll+46BCA9
    ' GameRpcs.dll+21F8CD - E9 D7C32400         - jmp GameRpcs.dll+46BCA9===
    ' GameRpcs.dll+21F8D2 - 90                  - nop
    写内存字节集 (进程ID, 进程_取EXE模块基址 (进程ID, “GameRpcs.dll”, “21F8CD”), 还原字节集2 (“E9 D7C32400 ”))
    写内存字节集 (进程ID, 进程_取EXE模块基址 (进程ID, “GameRpcs.dll”, “21F8D2”), 还原字节集2 (“90”))
    ' *** 缩略程序块 ***
    ' GameRpcs.dll+222463 - 0F83 C5130000         - jae GameRpcs.dll+22382E
    ' GameRpcs.dll+222463 - E9 C6130000         - jmp GameRpcs.dll+22382E
    ' GameRpcs.dll+222468 - 90                  - nop
    ' 写内存字节集 (进程ID, 进程_取EXE模块基址 (进程ID, “GameRpcs.dll”, “222463”), 还原字节集2 (“E9 C6130000”))
    ' 写内存字节集 (进程ID, 进程_取EXE模块基址 (进程ID, “GameRpcs.dll”, “222468”), 还原字节集2 (“90”))
    ' ' GameRpcs.dll+46BCC3 - 0F83 3A6EDBFF         - jae GameRpcs.dll+222B03
    ' ' GameRpcs.dll+46BCC3 - E9 3B6EDBFF         - jmp GameRpcs.dll+222B03=====
    ' ' GameRpcs.dll+46BCC8 - 90                  - nop
    ' 写内存字节集 (进程ID, 进程_取EXE模块基址 (进程ID, “GameRpcs.dll”, “46BCC3”), 还原字节集2 (“E9 3B6EDBFF ”))
    ' 写内存字节集 (进程ID, 进程_取EXE模块基址 (进程ID, “GameRpcs.dll”, “46BCC8”), 还原字节集2 (“90”))
    ' ========================================================================================================================
    ' GameRpcs.dll+21EDCB - 0F83 E47F0000         - jae GameRpcs.dll+226DB5
    ' GameRpcs.dll+21EDCB - E9 E57F0000         - jmp GameRpcs.dll+226DB5===
    ' GameRpcs.dll+21EDD0 - 90                  - nop
    写内存字节集 (进程ID, 进程_取EXE模块基址 (进程ID, “GameRpcs.dll”, “21EDCB”), 还原字节集2 (“E9 E57F0000 ”))
    写内存字节集 (进程ID, 进程_取EXE模块基址 (进程ID, “GameRpcs.dll”, “21EDD0”), 还原字节集2 (“90”))
    ' GameRpcs.dll+1938BF - 0F85 3DC7FFFF         - jne GameRpcs.dll+190002
    ' GameRpcs.dll+1938BF - E9 3EC7FFFF         - jmp GameRpcs.dll+190002===
    ' GameRpcs.dll+1938C4 - 90                  - nop
    ' *** 缩略程序块 ***
    ' 写内存字节集 (进程ID, 进程_取EXE模块基址 (进程ID, “GameRpcs.dll”, “1938BF”), 还原字节集2 (“E9 3EC7FFFF ”))
    ' 写内存字节集 (进程ID, 进程_取EXE模块基址 (进程ID, “GameRpcs.dll”, “1938C4”), 还原字节集2 (“90”))
    ' ' GameRpcs.dll+27A42 - 74 1B               - je GameRpcs.dll+27A5F
    ' ' GameRpcs.dll+27A42 - EB 1B               - jmp GameRpcs.dll+27A5F
    ' 写内存字节集 (进程ID, 进程_取EXE模块基址 (进程ID, “GameRpcs.dll”, “27A42”), 还原字节集2 (“ EB 1B ”))
    返回 (真)
.默认
    返回 (假)
.判断结束


干掉内存透视追封处理.ec

1748533416 发表于 2017-8-3 01:11:00

沙发沙发沙发

2967837004 发表于 2017-12-9 10:22:03

哈哈哈哈哈哈谢谢了

查看完整版本: 干掉内存透视追封处理.ec