玩传奇私服 下载及安装

以前我玩街头篮球没有任何问题！可是现在玩老会被弹出去！会跳出来一个什么初始化的东西！怎么搞得啊！

更新了，过时的文章了，所以发出来。逆向的一些总结作者感谢的指点。仅仅出于对技术的好奇，请勿用于商业目的。转载请保持文章完整性是一款网游反黑客系统。1。主要功能在。dll中。2。通过驱动来修改SSDT进行反调试。驱动文件是作为附加数据绑在。dll文件尾部。动态的解出，加载完毕马上删除（大概存在几秒钟就被删掉了）。目前的成果：1。让。dll被脱壳后，也能通过hackshield系统的自效验。2。去掉反调试。函数的作用：#1：初始化returnval...全部

HShield更新了，过时的文章了，所以发出来。逆向hackshield的一些总结作者:Isaiah感谢shoooo的指点。仅仅出于对技术的好奇，请勿用于商业目的。转载请保持文章完整性hackshield是一款网游反黑客系统。

1。主要功能在EHSvc。dll中。2。通过驱动来修改SSDT进行反调试。驱动文件是作为附加数据绑在EHSvc。dll文件尾部。动态的解出，加载完毕马上删除（大概存在几秒钟就被删掉了）。

目前的成果：1。让EHSvc。dll被脱壳后，也能通过hackshield系统的自效验。2。去掉反调试。函数的作用：#1：初始化returnvalue:0#2：加载驱动returnvalue:0#10：初步的自效验returnvalue:0#14:内存效验。

临时的解决方法如下：1。修改EHSvc。dll的#10函数让其eax永远返回0。2。修改EHSvc。dll的#2函数让其不加载驱动，并且eax返回0上面的方法不是很好。下面是#1函数的流程分析：9个参数0。

属于Freestyle模块的函数的地址，估计是freestyle提供的回调函数。1。验证主程序freestyle。exe文件名的key=3ECh。(发现只要文件名前面为freestyle就可以通过)2。

主程序文件名Hash后的散列。用peid算法的识别插件显示使用的hash函数为HAVAL-1283。DWORD标志字段,每一位都有含义。目前意义不祥4。注册表中packver的键值,本机为3032601h5。

一个标志字段。freestyle。exe传过来的值为2。和驱动加载有关,具体用途不明。这个值要影响一系列的标志位。6。HackshieldEhsvc。dll的文件名(带路径)7。GetTickCount的地址8。

GetSystemTime的地址大概的流程:首先在注册表HKCU下创建Software\\AhnLab\\HShield项。如过存在就打开。将Ehsvc。dll的路径信息写入默认的键值,将3032601h键值写入packver然后查询log键的值,但是我的注册表里面没有这个键。

(奇怪的地方),这个log键关系到一个全局变量的值。接下来:用参数3当作标志第9位是否置1如果是则设置一系列全局变量----这里必为1根据全局变量,判断#1是否已经成功的调用过。

判断是否传入了回调函数的地址判断是否传入了主程序文件名的Hash值如果通过1。检查当前运行主程序的文件名是否和原始的一样用参数3当作标志第15位是否置1如果是则设置一系列全局变量----这里必为0不为0,将要启动一个新的线程,作用不明。

用参数3当作标志第10位是否置1如果是则设置一系列全局变量----这里必为0不为0也要执行一些不明作用的操作。判断操作系统,如果是2000以上,操作系统版本全局变量=1参考资料：。

收起