求一份DNF最新变怪写法-吾爱汇编-防破解,反调试,反汇编,软件安全,逆向分析-52hb.com

xingxi 发表于 2017-2-12 13:07

求一份DNF最新变怪写法

{:5_118:}求一份DNF最新的变怪写法，如果有违规请版主删除帖子谢谢

908383407 发表于 2017-2-12 13:07

.版本 2

.子程序变怪
.局部变量变怪地址, 整数型
.局部变量空白地址, 整数型, 静态
.局部变量计算跳转, 整数型
.局部变量空白跳回, 整数型
.局部变量跳回地址, 整数型
.局部变量跳回计算, 整数型
.局部变量二次地址, 整数型
.局部变量怪物等级, 整数型
.局部变量怪物代码, 整数型
.局部变量开关, 逻辑型, 静态

检测处理 ()
CRC ()
变怪地址＝十六到十3 (“22C38E1”)' 3E0D098
二次地址＝十六到十3 (“3E0D098”)' 22C38E1
怪物等级＝到整数 (等级.内容)
怪物代码＝到整数 (代码.内容)
空白地址＝十六到十3 (“400300”)
计算跳转＝空白地址－变怪地址－ 5
空白跳回＝空白地址＋十六到十3 (“1B”)
跳回地址＝变怪地址＋ 8
跳回计算＝跳回地址－空白跳回－ 5
.判断开始 (开关＝假)
开关＝真
写内存字节集 (进程ID, 变怪地址, { 233 } ＋到字节集 (计算跳转) ＋ { 144, 144, 144 })
写内存字节集 (进程ID, 空白地址, { 199, 69, 8 } ＋到字节集 (怪物代码) ＋ { 144, 199, 69, 12 } ＋到字节集 (怪物等级) ＋ { 144, 80, 81, 86, 87, 161 } ＋到字节集 (二次地址) ＋ { 233 } ＋到字节集 (跳回计算) ＋ { 144, 144 })
公告 (“变怪开启”)
变怪检测 ()
时钟2.时钟周期＝ 2000
.默认
开关＝假
写内存字节集 (进程ID, 变怪地址, { 80, 86, 87, 161 } ＋到字节集 (二次地址) ＋ { 51, 197 })
写内存字节集 (进程ID, 空白地址, { 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0 })
时钟2.时钟周期＝ 0
公告 (“变怪关闭”)

908383407 发表于 2017-2-12 21:15

.版本 2

.子程序变怪检测

写内存字节集 (进程ID, 十六到十 (“057A0228”), 还原字节集2 (“90 90 90 90 90”))
写内存字节集 (进程ID, 十六到十 (“0579CA6D”), 还原字节集2 (“90 90 90 90 90”))
写内存字节集 (进程ID, 十六到十 (“0579C1F8”), 还原字节集2 (“90 90 90 90 90”))
写内存字节集 (进程ID, 十六到十 (“02715F23”), 还原字节集2 (“90 90 90 90 90”))
写内存字节集 (进程ID, 十六到十 (“0579B46E”), 还原字节集2 (“90 90 90 90 90”))
写内存字节集 (进程ID, 十六到十 (“05866B00”), 还原字节集2 (“90 90 90 90 90”))
写内存字节集 (进程ID, 十六到十 (“0B97F994”), 还原字节集2 (“90 90 90 90 90”))

908383407 发表于 2017-2-12 21:27

.版本 2

.子程序 HOOK变怪
.局部变量变怪地址, 整数型
.局部变量空白地址, 整数型, 静态
.局部变量计算跳转, 整数型
.局部变量空白跳回, 整数型
.局部变量跳回地址, 整数型
.局部变量跳回计算, 整数型
.局部变量二次地址, 整数型
.局部变量怪物等级, 整数型
.局部变量怪物代码, 整数型

变怪地址＝十六到十 (“022c38e1”)
二次地址＝十六到十 (“03c28e90”)
怪物等级＝到整数 (变怪等级.内容)
怪物代码＝到整数 (变怪代码.内容)
空白地址＝十六到十 (“400500”)
计算跳转＝空白地址－变怪地址－ 5
空白跳回＝空白地址＋十六到十 (“1B”)
跳回地址＝变怪地址＋ 8
跳回计算＝跳回地址－空白跳回－ 5
.判断开始 (开关＝ 0)
开关＝ 1
变怪检测 ()
写内存字节集 (进程ID, 变怪地址, { 233 } ＋到字节集 (计算跳转) ＋ { 144, 144, 144 })
写内存字节集 (进程ID, 空白地址, { 199, 69, 8 } ＋到字节集 (怪物代码) ＋ { 144, 199, 69, 12 } ＋到字节集 (怪物等级) ＋ { 144, 80, 81, 86, 87, 161 } ＋到字节集 (二次地址) ＋ { 233 } ＋到字节集 (跳回计算) ＋ { 144, 144 })
公告 (“开启 - 变怪”)
.默认
开关＝ 0
写内存字节集 (进程ID, 变怪地址, { 80, 86, 87, 161 } ＋到字节集 (二次地址) ＋ { 51, 197 })
写内存字节集 (进程ID, 空白地址, { 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0 })
公告 (“关闭 - 变怪”)
.判断结束

752239682 发表于 2017-2-13 16:12

我只想要过三方木马

页: [1]

吾爱汇编's Archiver

求一份DNF最新变怪写法