henuyl的博客

今天开心的玩游戏，突然发来通知，增加了一门课程，打开一看，噢，原来是雨课堂其实，本来通过多开挂机的方式，完成了大部分的课程了，但是，还是想探究一下，这个原理，于是乎，留了几节课，用来实验。为什么要这么玩呢，因为很久之前（非本次），某网站的长达几个小时的视频，通过python伪造请求，可以做到10s看完，非常有意思这个网站的视频逻辑是不断发包请求但是每个包的请求的视频点，不得超过太长时间，否则失效。以下为破解代码import requestsimport randomimpor.

想必大家玩游戏都开过挂，无论单机或者联机游戏，如何最大程度的保护自己的游戏。如果只是想简简单单的防御一下。HANDLE shProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);PROCESSENTRY32 sprocess = {sizeof(PROCESSENTRY32)};// 遍历进程while (Process32Next(shProcessSnap,&sprocess)){ string s_s

有些进程被注入了某些恶意的线程（也可能不是恶意的）首先我们拿到该进程的进程模块，用来对比进程中线程的模块是否在这里面把这些模块放入到vector里面便利该进程的所有线程获取模块的起始地址和大小，很快就可以得到伪装线程。#pragma region 依赖typedef enum _THREADINFOCLASS{ ThreadBasicInformation, ThreadTimes, ThreadPriority, ThreadBasePriori..

附上VS对IMPORT的一系列原装定义typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; // 0 for terminating null import descriptor DWORD OriginalFirstThunk; // RVA ...

很简单，直接贴代码吧主要要注意RVA转FOA！！！VOID ReturnAllRelocation( IN LPVOID pFileBuffer){ if(pFileBuffer == NULL){ return; } PIMAGE_DOS_HEADER idh = NULL; PIMAGE_NT_HEADERS64 inh = NULL; PIMAGE_OPTI...

BOOL is64Bit = is64BitOS(FilePath_In);BOOL is64BitOS( IN LPSTR lpszFile){ LPVOID pDemoBuffer = NULL; ReadPEFile(lpszFile, &pDemoBuffer); PIMAGE_DOS_HEADER idh = NULL; PIMAGE_NT_HEADERS i...

本来开开心心一遍过，自己写的DLL的文件也能解析出来，突然，我从崩坏3桌面版随便找了一个DLL拖进了我的程序，发现运行不正常，没想那么多，就去排查代码逻辑问题，从上到下看了个遍，发现，代码本没问题，后来，我突然发现，这是个64位PE文件（我不是应该早点发现吗！！），然后，改了一下，运行成功。VOID ReturnAllExport( IN LPVOID pFileBuffer){ if...

size_t RVAToFOA( size_t x, PVOID memoryBuff){ PIMAGE_DOS_HEADER idh = NULL; PIMAGE_NT_HEADERS inh = NULL; PIMAGE_FILE_HEADER ifh = NULL; PIMAGE_OPTIONAL_HEADER ioh = NULL; PIMAGE_SECTION_HE...

VOID AddNewSection( size_t sectionLength){ LPVOID pFileBuffer = NULL; LPVOID pTempFileBuffer = NULL; size_t fileSize = ReadPEFile(FilePath_In, &pFileBuffer); if(pFileBuffer == NULL){ prin...

VOID AddCodeToCodeSec( VOID){ LPVOID pFileBuffer = NULL; LPVOID pImageBuffer = NULL; LPVOID pNewFileBuffer = NULL; PIMAGE_DOS_HEADER pDosHeader = NULL; PIMAGE_NT_HEADERS pNTHeader = NULL; PIM...

跟着滴水三期学了很长时间了，本着，每一点都要吃透的精神，跟“读文件到内存（拉伸），再读回文件（压缩回来）”杠了一天。先看看按着老师的架构写的代码吧（老师的代码有很多问题（可能是我太菜了吧），踩了很多坑，最后自己推翻重写，全改过来了。）先看看全部函数的声明#include <windows.h>#include <stdio.h>#define FilePa...

#include <stdio.h>#include <iostream>#include <stdlib.h>#define DWORD unsigned int#define WORD short#define BYTE unsigned charusing namespace std;struct IMAGE_DOS_HEADER{ ...

IMAGE_DOS_HEADER STRUCT{ +0h WORD e_magic//MZ(4D5A)** +2h WORD e_cblp +4h WORD e_cp +6h WORD e_crlc +8h WORD e_cparhdr +0ah WORD e_mi...

#include <stdio.h>#include <iostream>#include <stdlib.h>using namespace std;struct node{ //换了一种方式，使用链表存储更加灵活 char data; struct node *next;};int main(){ FILE *pFile = fopen...

今天到手一个 lol外挂分析其特征发现每次打开， 该外挂会模仿系统中已有进程的所有特征（很笼统）虽然没有隐藏进程信息，但是由于进程名随机（模仿已有进程名），也无法根据进程名获取外挂进程（菜鸡一枚）根据任务管理器查看到的一些线索，我们可以打开pchunter利用pchunter 查看外挂的一些特征锁定外挂的pid， 根据pid，再详细分析试了好几种方案，最后确定的最稳的一...

假装不知道程序内部结构(滑稽);运行文件黑框发现需要输入密码， 虽然不知道是什么密码(如果知道，还要什么逆向)运行od，当然，没有的小伙伴可以装一个，od会频繁使用，而且是一个很强大的软化。建议搜索 吾爱破解本地工具包打开专用od，打开对应 32位的.exe文件Command 加入 bp scanf意思就是， 在scanf停一下点击按钮运行随便输入一个f8，分析过程...