忙活了一天 刚才测试了一下 还行 但是vs貌似能检测出来 所以 用一下赶紧关了 而且不要开始就打开这个软件, 打一会再打开这个软件 而且只能主机用 非主机T 主机=T自己
好了废话不多说
VS全图T人外挂制作
周末跟大学好友一起YY语音开黑打真三, 感觉很爽。经常忘记时间 一搞就一晚上。可是前天晚上我们打的一局,对面的人**不出团,我们攻到他们家门口了,然后就有一个人给我私聊,内容是 “-kick” 我去~ 这不是T人吗 奇怪我咋没掉线?我就骂了几句 我说我是T人的老祖宗 我对你那破玩意免疫。刚说完我就杯具的掉线了,我朋友还在里面打,过了一会YY告诉我 就剩他一个人了 又过了一会 他说他也被T了。杯具。于是我也邪恶了一把。。。有人说网上有工具 但我还是喜欢自己写工具,显血改建就是自己写的。
预备知识:
1.对PE文件的ImportTable要很了解才行,我们要IAT替换实现API hook。
2.远程线程注入dll,老掉牙的技术。
制作过程:
1.我们知道通常的socket通信中发送信息的函数有2个 send 和sendto,只是参数有些差别。那么首先我们要搞明白 到底war3(这里说明一下打真3的朋友大都用1.20版本的war3,所以本工具只支持1.20版本)用的是哪个函数。好了,用lordPE查一下Frozen Throne.exe ,发现导入表里面只有3个dll,分别是 kernel32 user32 gdi32 很明显没有我们想找的socket api。记得还有一个war3.exe 不过他没有图标,查一下 发现里面有一个dll叫wsock32.dll 嗯?这个好像不常见啊 常见的是ws2_32.dll 先不管,去c盘里搜wsock32.dll。找到了 用lordPE查了一下里面果然有 send 和sendto。继续查war3.exe的导入表 我们发现wsock32.dll里面的函数是按照序号导出的 没有名字 那么只能从wsock32.dll文件下手,查到send 和 sendto的序号分别是 0x13, 0x14. 然后发现war3.exe中这俩序号都存在,到底是用哪一个呢? 继续往后看, 这部分先知道着些就成。
2.写一个dll,在dll里实现hook send(or sendto),然后用远程现场的方法注入到war3中去.这里说一下我们可以试验先hook send看看有没有效果, 如果没有效果hook sendto就应该是正解了, 这也没啥好办法 试验一下就知道war3到底用哪个了 我猜暴雪应该不会在同一功能模块混用这个api. 如果真的是混用了 那俩api都hook就行了 具体参考源码吧
3.远程线程注入到war3中 这个没啥好说的 参考源码
4.全图是我在网上找的别人的代码抄的,杯具。。。
5.本文没考虑过vs检测 没考虑被杀软误杀.
有一个疑问 我想给指定的用户刷屏 但是没有实现 那位大侠知道如何刷 请告知 感激不尽。
- 标 题:VS显血 改键 全图 T人外挂源码
- 作 者:blueapplez
- 时 间:2010-11-15 21:41:29
- 链 接:http://bbs.pediy.com/showthread.php?t=124869