程序多开器工作原理剖析.doc_第1页
程序多开器工作原理剖析.doc_第2页
程序多开器工作原理剖析.doc_第3页
程序多开器工作原理剖析.doc_第4页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

程序多开器工作原理剖析一、 背景以前使用QQ游戏玩一些小游戏,发现QQ游戏客户端没办法开两个。校内通也同样有这个问题,导致我不能同时开几个校内通。在网上下载了一个程序多开器,使用多开器开启的校内通可以打开两个一起“偷菜”(很久以前的事了)。程序多开器的原理我也大致有所了解,自己写的一些程序也会使用这些技术防止同一个进程多次运行。正好下载的程序多开器可以使用,就拿它开刀了。二、 分析过程程序多开器安装文件夹下有3个文件:双击打开程序多开器,出现主界面:点击【运行】时会调用API CreateProcess?IDA载入“程序多开器.exe”,从输入表中找到了CreateProcessA函数,查找参考后可以找到调用处的代码,直接F5得到伪代码:大致流程是先使用CreateSuspended参数启动待运行的程序,然后向进程中注入一个DLL,最后使用ResumeThread恢复进程运行。那么重点就落在了DLL注入和DLL中具体的功能了,CreateProcessWithDllInjection函数内部如下:注入的代码猜测一下不难理解,使用GetThreadContext获得待恢复进程的主线程环境,获得EIP和ESP,抬高栈顶申请局部空间,将DLL加载的汇编代码和当前线程环境信息写入到抬高后的栈中(DLL加载的代码中也包括了加载以后的线程环境恢复代码),修改线程的EIP和ESP并调用SetThreadContext恢复线程环境,最后调用ResumeThread恢复进程运行。接下来是Dll中的代码了,先看看DLL中做了什么手脚吧。使用程序多开器启动一个程序,用XueTr.exe看看有没有Hook的代码,从应用层钩子-进程钩子中扫描到的Hook信息发下:从扫描到信息知道RtlGetLastWin32Error处存在inline hook,直接有一个jmp跳转。用IDA载入MyDll.dll后查找得到了faked_GetLastError函数:好了,原理我们大致清楚了:开启进程-注入DLL-DLL中inline hook GetLastError()函数,当真实的GetLastError()返回ERROR_ALREADY_EXISTS时修改返回值为ERROR_SUCCESS。这样经过Hook后使用CreateMutex或CreateEvent然后调用GetLastError判断是否存在来防止多开的方式将不再起作用了。三、 代码实现具体代码实现请参考源代码。这里截一个图吧:四、 存在的不足从分析来看,Hook的代码只对Mutex和Event这两种方式处理。未找到共享内存、文件映射等方式的处理代码,如果要加上这些,还要进一步进行分析。第一次写此类文章,主要目的是想跟大家一起交流编程方面的各类技
人人文库> 全部分类> 应用文书 > 项目管理

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论