请选择 进入手机版 | 继续访问电脑版

九重天论坛-集技术交流、视频教程、资源共享、游戏辅助、逆向分析、编程学习于一体的综合论坛

 找回密码
 立即注册
展开

喊话小喇叭     

全站
火乄神丶 说: 香肠派对多功能变态辅助群:1108034863
22天前
全站
cola 说: BYX狸和平精英专项过检QQ群5347056
2020-03-26
全站
cola 说: 和平精英过检测专项BYXQQ群653485557
2020-03-25
全站
1577977777 说: 要求绕过DNF人脸识别,招作者做DNF硬件脚本,成功以后高薪聘请,如有意向详谈加QQ1577977777qq1578288888
2019-12-13
全站
qq81409224 说: 核盾谁来锤锤
2019-11-22
全站
翻车是不可能的 说: 2019,九重天论坛 “猪”大家新年快乐! “猪”事如意。
2019-02-11
查看: 2394|回复: 54

[补丁工具] 极乐网络验证通用提取补丁+源码by xsdw

  [复制链接]

       

签到天数: 299 天

[LV.8]以坛为家I

发表于 2019-9-1 13:59:10 | 显示全部楼层 |阅读模式
0x0 前言
    近期极乐验证升级新版本,由之前的 生成文件->运行 变成了现在直接内存运行了。(先恭喜极乐完成一次重大升级

0x1 提取原理
    老版本:老版本的极乐是把原文件写出到文件夹里 然后运行。提取原理也很简单Hook CreateProcessW 和 CreateProcessA (有的极乐调用的是A版本有的是W版本),获取要创建进程的文件路径,读入文件,再写出文件。
    新版本:新版本的极乐不写出文件,所以没有办法复制原文件,他是在内存中直接运行,所以内存中存在他解密后的原文件,经过调试发现他会调用CreateProcessA创建一个外壳进程“cmd.exe”
于是下CreateProcessA调试,发现断下之后,EBP+8这个地址就是源程序的内容了,这个地址其实是 在内存中运行EXE()中的第一个参数。于是直接读内存把源程序全部读取出来,再写出文件,就提取出来了。


0x2 相关源码


老版本提取补丁:
Lily_Screenshot_1567317392.png

新版本提取补丁:



Lily_Screenshot_1567317425.png


游客,如果您要查看本帖隐藏内容请回复



       

签到天数: 457 天

[LV.9]以坛为家II

发表于 2019-9-1 15:26:34 | 显示全部楼层

无私的奉献与分享,九重天就是牛B!


       

签到天数: 77 天

[LV.6]常住居民II

发表于 2019-9-1 21:50:36 | 显示全部楼层

握草!九重天论坛居然有楼主这样的人才。


       

签到天数: 222 天

[LV.7]常住居民III

发表于 2019-9-1 22:07:49 | 显示全部楼层

“卧槽”!奈何本人没文化,一句卧槽行天下。


       

签到天数: 43 天

[LV.5]常住居民I

发表于 2019-9-2 10:50:08 | 显示全部楼层
看看大佬的源码


       

签到天数: 223 天

[LV.7]常住居民III

发表于 2019-9-2 19:24:40 | 显示全部楼层

“卧槽”!奈何本人没文化,一句卧槽行天下。


       

签到天数: 54 天

[LV.5]常住居民I

发表于 2019-9-3 04:10:31 | 显示全部楼层

秀,优秀,臣独秀,蒂花之秀,造化钟神秀。


       

签到天数: 8 天

[LV.3]偶尔看看II

发表于 2019-9-4 13:56:16 | 显示全部楼层

握草!九重天论坛居然有楼主这样的人才。


       

签到天数: 165 天

[LV.7]常住居民III

发表于 2019-9-6 18:40:51 | 显示全部楼层
无私的奉献与分享,九重天就是牛B!


       

签到天数: 105 天

[LV.6]常住居民II

发表于 2019-9-9 05:53:47 | 显示全部楼层

无私的奉献与分享,九重天就是牛B!

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|九重天论坛 ( 粤ICP备19002437号 )

GMT+8, 2020-7-13 06:51

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表