大漠7.2424绑定测试官方版

ganyilu

要不要，要我就发。
有第三方写的，但是我不敢用，自己搞了一下官方版本。已经搞定了。

ganyilu

Spunky 发表于 2025-7-26 10:47
我知道就是代码给虚拟化了，破J这方面我就略知一二，你说的是直接内存扫描来对比修改了什么吗？，扫不到什 ...

其实你说的那些其实还是很简单的，都是HOOK线程之内的事情。麻烦的反而是线程之外的处理，比如做了什么，计算什么。然后判断取消了HOOK。这才是浪费大量时间的地方。要是真的只是HOOK几处位置，反而简单多了。

Spunky

ganyilu 发表于 2025-7-25 21:21
第一，加的不是VMP，是enigma protector，
第二，不管加什么，你只要部分，想扣就扣，VMP只是给代码混肴 ...

我知道就是代码给虚拟化了，破J这方面我就略知一二，你说的是直接内存扫描来对比修改了什么吗？，扫不到什么有用的数据，只扫到你说的3处位置，都是hook到它go的子程序上

ganyilu

Spunky 发表于 2025-7-25 20:02
代码都是vm的，这咋扣没法扣呀

第一，加的不是VMP，是enigma protector，
第二，不管加什么，你只要部分，想扣就扣，VMP只是给代码混肴，增加分析难度，不是给汇编代码下毒。
你想怎么扣就怎么扣，想怎么改就怎么改。
第三，有个目标检测让你对照，难度下降很多，就是大漠DLL。比起你单独分析GO.DLL，简单许多了。
第四，算了，不跟你说了。

Spunky

ganyilu 发表于 2025-7-21 16:47
大漠模块地址+CFC3              C3CCCCCCCC           E99859BE5E
大漠模块地址++1DA1A           8B542 ...

代码都是vm的，这咋扣没法扣呀

inat

ganyilu 发表于 2025-7-21 16:47
大漠模块地址+CFC3              C3CCCCCCCC           E99859BE5E
大漠模块地址++1DA1A           8B542 ...

内存修改后的我倒是会点,但是和你找的不一样啊,找的是 +CFC8  +1DA1F  +EBFC5,看来我查找的多了一位,后面就搞不懂了,查看内存里面汇编跳过去跳过来的,里面汇编代码不是新手能扣出来的

ganyilu

inat 发表于 2025-7-21 10:42
只是你厉害觉得没那么夸张吧..到时你要发布代码吗,不发布的话卖我一份也行啊,毕竟有源码在手心里安心万一 ...

大漠模块地址+CFC3              C3CCCCCCCC           E99859BE5E
大漠模块地址++1DA1A           8B54241452                 E9F142BD5E
大漠模块地址++EBFC0              81ECB00300             E9CB6ABOSE

第二列是原始值，第三列是HOOK后。
你把JM的新地址复制一份完整的代码，把godll抠出一部分代码，往自己新申请的地址后面贴，跳转的时候重新计算一下地址。难度应该没有了，就算费点时间。
要是自己破，肯定很难，拿别人的东西没那么难的。
造高铁开路很难，坐个高铁还不会就是自己的问题了。

inat

ganyilu 发表于 2025-7-21 09:09
我昨晚看了一下，其实就HOOK了三个位置，DLL处理了一下，然后这三个位置最终全部跳转到申请的同一个地址 ...

只是你厉害觉得没那么夸张吧..到时你要发布代码吗,不发布的话卖我一份也行啊,毕竟有源码在手心里安心万一有问题也可以自己稍微修改下,完美.

ganyilu

inat 发表于 2025-7-21 00:26
早就对比过,每次内存修改的都不一样,搞不定,也不是一般能搞定的..

我昨晚看了一下，其实就HOOK了三个位置，DLL处理了一下，然后这三个位置最终全部跳转到申请的同一个地址上。最后恢复了一下HOOK。其实也没有那么夸张。
把这三个HOOK经过的代码复制，把申请地址的代码复制。其实就差不多了。
还有一点点小问题。

lijintai110

谢谢分享  要

恋尘

大佬给个链接