开启辅助访问 切换到宽版

精易论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

用微信号发送消息登录论坛

新人指南 邀请好友注册 - 我关注人的新帖 教你赚取精币 - 每日签到


求职/招聘- 论坛接单- 开发者大厅

论坛版规 总版规 - 建议/投诉 - 应聘版主 - 精华帖总集 积分说明 - 禁言标准 - 有奖举报

查看: 103244|回复: 1200
收起左侧

[图文资料] 修改CE、让内存检测见鬼去吧

  [复制链接]

结帖率:89% (41/46)
发表于 2011-10-4 02:33:01 | 显示全部楼层 |阅读模式   广东省江门市
分享视频教程
教程类型: -
教程讲师: 小焕
下载地址1:

论坛的VE、就是这方法改出来的、

这方法比较麻烦,不过是一劳永逸的~ 怕麻烦的就不用看了
首先我来说下 TC是怎么检测到我们使用 OE CE什么的
只是搜素关键的函数变量,像CE OE ME 的关键函数变量 都是加入检测系统的
我们现在要做的,就是修改函数变量,让NP不认识你这个新程序。这个关键变量当然是你说了算啦
只要没流传,检测系统是不知道你这个函数变量的。 只要自己用,基本上永远都能改图。

老规矩、回复看内容

下面正式开始:
1、我们先要准备几个软件
(1)、CE的源码,这个我在网上找了很久才找到个能用的,我会传上来。地址在帖子最后。
(2)、CE源码的编译软件 DELPHI
Delphi7 : http://www.skycn.com/soft/2121.html
中文补丁: http://www.skycn.com/soft/2123.html
Delphi7直接下载 : 迅雷专用高速下载 迅雷专用高速下载 http://zjTELe2.skycn.com/down/BorlandDelphi7.zip
中文补丁直接下载 : 迅雷专用高速下载 迅雷专用高速下载 http://zjTELe1.skycn.com/down/HF_Delphi7_chs.rar

(3)Actual Search and Replace 一个查找及替换软件,这个网上很容易能下到
下载地址:
直接迅雷下载
thunder://QUFodHRwOi8vZnRwLnBjb25saW5lLmNvbS5jbi9wdWIvZG93bmxvYWQvMjAwNzEwL2FjdHVhbHNyX1BDb25saW5lLnppcFpa
(4)Windows DDK (Windows DDK (包含在 KMDF,核心模式驱动架构中) 上微软网站下吧,可能改改名字了,找不到DDK 用WDK 也行
迅雷专用高速下载 http://download.microsoft.com/do ... fd/1830_usa_ddk.iso (参考下载地址,不知道现在能不能用了)

2.创造DBK32.sys
2a.用记事本*CE主目录里面的driver.dat ,做如下修改:
CEDRIVER53 >> string1 (这里的string1,代表你自己的关键字,把CEDRIVER53改成你需要的东西,比如:外猴子岛1,下面一样,不多说了)
DBKProclist53 >> string2 (这就是 外猴子岛2喽~ )
DBKThreadList53 >> string3
dbk32.sys >> string.sys
2b. 用记事本打开DBKKernel文件夹下面的DBKDrvr.c,查找: hideme,跳过第一处,来到第
二处,你会看到这样的句子: //hideme (DriverObject). 然后将hideme前面的 // 去掉。
2C. 用记事本打开打开DBKKernel 文件夹下面的sources.ce,做如下修改:
TARGETNAME=DBK32 >> TARGETNAME=string
2D. 现在编译 String.sys (也就是以前的DBK32.sys).
把你的DBKKernel文件夹所在目录的地址复制下来(等会用)。
打开window DDK,从开始菜单>>程序里面打开(确定你已经安装了KMDF)
打开之后是一个CMD界面,输入 cd ××(××既你刚才复制的地址,现在粘贴到这里)
输入ce,确定
如果一切正常,你将会看到“files compiled. 1 Executable built”的字样,String.sys
也已经出现在你的CE主目录里面。
3. 替换已被检测字符
3a.用delphi 7(中文版) 打开dbk32文件夹下的dbk32.dpr。
查看>>工程管理器,然后展开dbk32.dll,双击DBK32functions打开它,做如下修改:
CEDRIVER52 >> String1(跟CEDRIVER53是同一个东西)
DBKProcList51 >> String2 (跟DBKProcList53是同一个)
DBKThreadList51 >> String3 (跟DBKThreadList53是同一个)
都做完了么?然后保存,可以关掉delphi7了
然后打开文字替换工具(也就是Actual Search and Replace)
File> Settings > Editor,找到你的delphi 7目录的delphi运行文件,也就是delphi32.exe,
类似于"C:\Program Files\Borland\Delphi7\Bin\delphi32.exe" ,确定
点到 options 标签,确定"include subfolders"(包含子文件)已经被选上。
点到 Search and Replace标签,
在 "Masks" 里面,键入: newkernelhandler.pas; DBK32functions.pas; DBK32.dpr

在 " ath" 里面加入:CE主目录
然后把whole words 选上。
开始进行字符替换,在"to search"里填要替换的字符,在"to Replace or insert"填上要替换成的字符。
被替换和替换成的字符如下:
VQE >> string4
OP >> string5
OT >> string6
RPM>> string7
WPM >> string8
VAE >> string9
3b. 现在我们将newkernelhandler.pas, DBK32functions.pas, 和DBK32.dpr改名.

用Delphi 7打开上面3个文件. Newkernelhandler 在CE主目录,另外两个文件在DBK32文件夹. 打开,
然后执行“文件 ”> “另存为”,3个文件分别另存为:
DBK32.dpr >> String.dpr
DBK32functions.pas >> Stringfunctions.pas
New KernelHandler.pas >> StringHandler.pas
然后保存,退出。
现在,打开查找和替换工具,把 mask 改成 " *.* ". (Include Subfolders要选中)
做如下替换。
dbk32.sys >> string.sys
dbk32.dll >> string.dll
现在用delphi 7打开string.dpr . 我们将编译 string.dll. 执行 Project > compile string. 如果正常你将会
看到"警告"和"提示"窗口,否则你将看到"错误"窗口. 如果得到错误,那么检查你的步骤。
好的,如果一切正常,你就可以在CE主目录看到string.dll了
3c. 制作 CEHook
再次用到查找和替换工具,“Mask”里键入 CEHook.dpr;hypermode.pas
替换:myhook >> string54
用delphi7打开CEHOOK文件夹下面的CEHook.dpr ,然后将user下面的system注释掉,也就是在system
前面加入“ // ”。
3d. 创造 Stealth - 打开stealth.dpr(在Stealth目录下) 并且编译它,这里什么都不需要变(HOHO…)
3e. 重新命名 NewKernelHandler 和 CeFuncProc
打开cheatengine.dpr(CE 主目录下).来到 工程管理器 ,再次打开NewKernelHandler.pas 和
CeFuncProc.pas 执行文件 > 另存为". 保存到CE主目录,两文件分别保存为:
NewKernelHandler.pas >> StringHandler.pas (replace? Yes!)
CeFuncProc.pas >> String55.pas
保存,退出。
然后查找替换,Mask填:*.*,(取消 include subfolders)
NewKernelHandler >> Stringhandler (改变所有文件除了Newkernelhandler.pas)
CeFuncProc >> String55
3f. 改变数值字符 (十六进制数值)
需要改变3个数值:00400000 , 7FFFFFFF , 80000000
可以给3个数值加上同样的数,比如说加5他们就变成:00400005,80000004,80000005
然后查找替换,(Include subfolders),Mask:"*.*"
00400000 >> 00400005
7FFFFFFF >> 80000004
80000000 >> 80000005
3g. 改变CheatEngine 图形界面里面的单词
再次查找和替换, (取消 include subfolders) ,Mask:"*.*"
nextscanbutton >> String56
scanvalue >> String57
scanvalue2 >> String58
ScanType >> String59
VarType >> String60
newscan >> String61
ScanText >> String62
syndic.com/ce >> myspace.com (你可以改变为任何网站)
3h. 再次查找和替换,(取消 include subfolders). mask:"*.pas "
CheatEngine >> StringEngine
cheat engine >> String Engine
3i.配置Cheat Engine 图形界面
打开CE主目录下的cheatengine.bpg. 然后工程管理器, 打开 MainUnit . 双击Cheat Engine图形界面就
弹出来了.
查找灰色显示的单词: "scan type" 和"value type",单击该下拉框来到scantype,这一步的目的就是检查你修改的字符是否正确,然后看左边的工程树和工程检测器,希望工程树下的 String59 是高亮显示的,现在向下滚动工程检测器,知道你看到"name",希望它的下一格也是String59
如果你这一步做正确了,那么继续重复做单词的检查。
最后,点击红色箭头下面的" rotectMe2" 和"crash me",转到工程监测器,把它的标题上的单词删掉
这样,它们是存在的,可是我们却看不到它们了。
下面,是一些有关个性化你的UCE的方法:
改变版本信息:用工程管理器打开Cheatengine.exe,右键>选项,点击"版本信息"标签,自由发挥吧
改变应用程序名,帮助,和图标,同上,然后点击“应用程序”标签。
改变设置和关于…部分,分别用工程管理器打开formsettingsunit" 和 "aboutunit"

3j. 编译 cheatengine.exe
查看工程管理器,确定你现在选择的是cheatengine.exe而不是cheatengine.DEU / NLD / RUS
最小化DelPhi,然后用wendows资源管理器打开CE主目录,建立一个文本文件,然后改名为:
trainerwithassembler.exe(这里非常重要,没有不行哦)

现在回到delphi,编译,这将会是很长的一步(但也是令人高兴的,因为你正接近成功)
当你尝试编译的时候,你也许会得到错误,类似:
[Error] autoassembler.pas(531): Undeclared identifier: 'KernelAlloc'
希望你已将你的改变如我要求的那样记录到一张纸上,现在去看你的记录,你将KernelAlloc变成了什么,
在该教程里,我改变为 String50
再次编译,如果你再次得到错误,处理它,再编译,直到没有错误。
(这是很长的一步,却是关键的一步)
4. 完成接触
4a. 编译UCE需要的文件
打开Delphi.
编译systemcallsignal.dpr (在 SystemcallRetriever 文件夹下).

编译Systemcallretriever.dpr(在 SystemcallRetriever 文件夹下).

编译Kernelmoduleunloader.dpr ( dbk32\kernelmodule unloader文件夹下)

4b. 另外的填充
首先.. 在你进行打包搞遭前,制作一个源文件的拷贝.
现在打开主目录下的cheatengine.bpg ,另存为stringengine.bpg
再次打开cheatengine.bpg,在cheatengine.exe 上右击,选择"查看源文件",
另存 cheatengine.dpr 为 stringengine.dpr 然后 编译它,你就会得到StringEngine.exe. !! (CE主文件,在这里已经变成SE了)
4c. 希望现在你有了所有下面的文件..
创造一个新的文件夹把他们放进去。
stringengine.exe
driver.dat
string.sys
string.dll
stealth.dll
cehook.dll
systemcallsignal.exe

systemcallretriever.exe

kernelmoduleunloader.exe

所所所所…有的事情已经做好!! 现在你仅需要去测试它。
只要按步骤来,一定可以的,中间可能有什么错误,多试几次吧。我弄了1天半才弄好的。

好了 现在来到我们的最后一步,设置你的修改器。
打开你们的修改器 进入设置
QQ截图20111004022836.jpg


声明一下:非原创、

点评

。楼主,你好。有很多图都掉了。建议再整理下。   湖南省湘潭市  发表于 2011-10-12 21:43

评分

参与人数 3好评 -1 精币 +4 收起 理由
xiaoyu1986 -1 掉图了,拿你一金币
sf0799 -1 图都掉光了,上地址吧
已经习惯 + 5 奉上小小红包希望笑纳

查看全部评分


结帖率:65% (13/20)
发表于 2011-10-4 13:13:37 | 显示全部楼层   宁夏回族自治区石嘴山市
膜拜 大牛 。。
回复 支持 反对

使用道具 举报

结帖率:80% (4/5)

签到天数: 3 天

发表于 2011-10-4 13:20:28 | 显示全部楼层   河南省洛阳市
这个方法不是有吗?你这个h是视频教程吗?

点评

虽然有的人看过、但是还有更多人都没看过呢、反正对大家有帮助的分享一下没坏处   广东省江门市  发表于 2011-10-4 23:51
回复 支持 反对

使用道具 举报

结帖率:0% (0/1)
发表于 2011-10-4 14:04:56 | 显示全部楼层   浙江省温州市
这个不看不行。
回复 支持 反对

使用道具 举报

结帖率:82% (9/11)
发表于 2011-10-4 14:06:15 | 显示全部楼层   广东省东莞市
可以过保护?
回复 支持 反对

使用道具 举报

结帖率:100% (3/3)
发表于 2011-10-4 14:52:43 | 显示全部楼层   广西壮族自治区桂林市
这个方法不是有吗?你这个h是视频教程吗?
回复 支持 反对

使用道具 举报

发表于 2011-10-4 15:53:57 | 显示全部楼层   北京市北京市
{:3_228:}谢谢分享...
回复 支持 反对

使用道具 举报

发表于 2011-10-4 16:06:45 | 显示全部楼层   山西省晋中市
kankan ////////////////////
回复 支持 反对

使用道具 举报

发表于 2011-10-4 16:16:40 | 显示全部楼层   天津市天津市
{:3_236:}支持啊
回复 支持 反对

使用道具 举报

结帖率:100% (1/1)
发表于 2011-10-4 16:26:58 | 显示全部楼层   江苏省苏州市
支持支持。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则 致发广告者

发布主题 收藏帖子 返回列表

sitemap| 易语言源码| 易语言教程| 易语言论坛| 易语言模块| 手机版| 广告投放| 精易论坛
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表精易立场!
论坛帖子内容仅用于技术交流学习和研究的目的,严禁用于非法目的,否则造成一切后果自负!如帖子内容侵害到你的权益,请联系我们!
防范网络诈骗,远离网络犯罪 违法和不良信息举报电话0663-3422125,QQ: 793400750,邮箱:wp@125.la
Powered by Discuz! X3.4 揭阳市揭东区精易科技有限公司 ( 粤ICP备12094385号-1) 粤公网安备 44522102000125 增值电信业务经营许可证 粤B2-20192173

快速回复 返回顶部 返回列表