冰楓論壇

 找回密碼
 立即註冊
搜索
查看: 12506|回覆: 18
打印 上一主題 下一主題

[原創數據] 过NGS 效验代码

[複製鏈接]

20

主題

1

好友

145

積分

技術師

Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15

UID
100173
帖子
53
主題
20
精華
0
積分
145
楓幣
10467
威望
141
存款
0
贊助金額
0
推廣
0
GP
88
閱讀權限
100
性別
保密
在線時間
75 小時
註冊時間
2015-4-23
最後登入
2022-5-4
跳轉到指定樓層
1
發表於 2015-5-18 22:11:35 |只看該作者 |倒序瀏覽
Ps:代码写的丑,求不吐槽
=====================================以下是代码
#include "stdafx.h"
#include "BlackCipherPass.h"
#include "PSAPI.h"




DWORD CreateProcessWAddr = (DWORD)GetProcAddress(GetModuleHandleA("kernel32.dll"), "CreateProcessW");
HMODULE MyModuleBase;

DWORD g_pi;
DWORD CreateProcessWRET;
DWORD ZwReadID = Get_ZwID("ZwReadVirtualMemory");
DWORD ReadProcessMemoryAddr = (DWORD)GetProcAddress(GetModuleHandleA("ntdll.dll"), "ZwReadVirtualMemory");
DWORD ReadProcessMemoryRET = (DWORD)GetProcAddress(GetModuleHandleA("ntdll.dll"), "ZwReadVirtualMemory") + 5;


DWORD AdumpAddr;
DWORD ALen;
CHAR* BCCRCNAME;


CRITICAL_SECTION g_cs;
BOOL g_bool;



//初始化BChook 参数1填入自DLL 句柄 通过Dllmain 可以获得   参数2 是BC效验的目标进程 参数3 是导出的目标进程Dump
void ReadProcessMemoryHook();
void InitBcHook(HMODULE hModule, CHAR* Name, DWORD dumpAddr, DWORD Len)
{
        InitializeCriticalSection(&g_cs);
        MyModuleBase = hModule;
        Hook_JmpADDR(CreateProcessWAddr, (DWORD)HOOKCreateProcessW);

        if (dumpAddr == 0 && Len == 0)
        {
                return;
        }
        Hook_JmpADDR(ReadProcessMemoryAddr, (DWORD)ReadProcessMemoryHook);
        AdumpAddr = dumpAddr;
        ALen = Len;
        BCCRCNAME = Name;
}


void 处理CreateProcessW(wchar_t *路径, DWORD _RET, DWORD PI)
{
        if (路径 && wcsstr(路径, L"BlackCipher.aes"))
        {
                DebugMsg("My 启动BlackCipher.aes");
                g_pi = PI;
                CreateProcessWRET = RM_4(_RET);
                RM_4(_RET) = (DWORD)&HOOKCreateProcessWBack;
        }

}
__declspec(naked) void HOOKCreateProcessWBack()
{


        _asm{
                pushad;
                mov eax, g_pi;
                push[eax + 0xc];
                push[eax + 0x8];
                push[eax + 0x4];
                push[eax];
                call 注入DLL;
                add esp, 0x10;
                popad;
                jmp CreateProcessWRET;
        }

}
__declspec(naked) void HOOKCreateProcessW()
{
        _asm{
                mov edi, edi;
                push ebp;
                mov ebp, esp;
                pushad;
                push[ebp + 0x2c];
                lea eax, [ebp + 0x4];
                push eax;
                push[ebp + 0xC];
                Call 处理CreateProcessW;
                add esp, 0xc;
                popad;
                mov eax, CreateProcessWAddr;
                add eax, 5;
                jmp eax;
        }

}



void 注入DLL(HANDLE hProcess, HANDLE hThread, DWORD dwProcessId, DWORD dwThreadId)
{
        DebugMsg("My 开始注入到BlackCipher.aes");
        LPVOID LoadLibraryWAddr = GetProcAddress(GetModuleHandleA("kernel32"), "LoadLibraryW");
        DWORD dwAddr = AllocMem(hProcess, 4096);
        WCHAR wcName[4096] = { 0 };
        HANDLE  hObject;
        GetModuleFileNameW(MyModuleBase, wcName, 4096);
        WriteProcessMemory(hProcess, (LPVOID)dwAddr, (LPCVOID)&wcName, 4096, 0);
        hObject = CreateRemoteThread(hProcess, 0, 0, (LPTHREAD_START_ROUTINE)LoadLibraryWAddr, (LPVOID)dwAddr, 0, 0);
        WaitForSingleObject(hObject, 0xFFFFFFFF);
        DebugMsg("My 结束注入");

}





void ReadProcessMemory处理(HANDLE hProcess, DWORD Addrthsi);
__declspec(naked) void ReadProcessMemoryHook()
{
        __asm{
                mov eax, ZwReadID;
                pushad;
                lea eax, [esp+0x28];
                push eax;
                push[ebp + 0x8];
                Call ReadProcessMemory处理;
                add esp, 0x8;
                popad;
                jmp ReadProcessMemoryRET

        }

}
CHAR* BCGetRunFileName(HANDLE hProcess)
{
        EnterCriticalSection(&g_cs);
        static         CHAR Name[255] = { 0 };
        g_bool = TRUE;
        GetModuleBaseNameA(hProcess, 0, Name, 255);
        g_bool = FALSE;
        LeaveCriticalSection(&g_cs);
        return Name;

}

void ReadProcessMemory处理(HANDLE hProcess, DWORD Addrthsi)
{
        if (g_bool)
        {
                return;
        }
        if (!stricmp(BCGetRunFileName(hProcess), BCCRCNAME))
        {
                int py;
                py = *(int*)(Addrthsi) - 0x400000;
                if (py > ALen || py < 0)
                {
                        return;
                }
                DebugMsg("My 确认NG正在访问主进程内存,  地址0x%08X", RM_4(Addrthsi));
                RM_4(Addrthsi) = (AdumpAddr+ py);

        }



}
收藏收藏2 推0 噓0


把本文推薦給朋友或其他網站上,每次被點擊增加您在本站積分: 1鑰匙
複製連結並發給好友,以賺取推廣點數
簡單兩步驟,註冊、分享網址,即可獲得獎勵! 一起推廣文章換商品、賺$$

20

主題

1

好友

145

積分

技術師

Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15

UID
100173
帖子
53
主題
20
精華
0
積分
145
楓幣
10467
威望
141
存款
0
贊助金額
0
推廣
0
GP
88
閱讀權限
100
性別
保密
在線時間
75 小時
註冊時間
2015-4-23
最後登入
2022-5-4
2
發表於 2015-5-18 22:13:45 |只看該作者
说一句,这个是我和PASS HS一起用的, 所以有什么看不懂的地方,可以跟帖
回覆

使用道具 舉報

46

主題

6

好友

144

積分

技術師

Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15

UID
15835
帖子
2025
主題
46
精華
0
積分
144
楓幣
2209
威望
125
存款
0
贊助金額
0
推廣
0
GP
164
閱讀權限
100
性別
保密
在線時間
371 小時
註冊時間
2012-10-23
最後登入
2022-4-21
3
發表於 2015-5-18 22:36:10 |只看該作者
謝謝大大分享
先推再研究
本來已打算放棄了XD
[發帖際遇]: kkmomo 欲向「咬蚊子」購買機關槍,卻不慎購買到「Togi」,花費 1 楓幣 幸運榜 / 衰神榜
回覆

使用道具 舉報

109

主題

2

好友

634

積分

技術師

高級初心者

Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15

UID
13639
帖子
6066
主題
109
精華
4
積分
634
楓幣
112057
威望
530
存款
0
贊助金額
0
推廣
31
GP
404
閱讀權限
100
性別
保密
在線時間
477 小時
註冊時間
2012-9-8
最後登入
2015-7-20

性別(女) 長老勳章 精華帖 發帖達人 積分勳章 除蟲大隊 貢獻王 2015年紀念勳章 富可敵國 論壇支持王 2015端午節紀念勳章 富豪勳章 神手勳章

4
發表於 2015-5-18 23:09:57 |只看該作者
思路不錯,處理得很好

真是一股清流



學習了

//---------------------------------------------------------------------------
#include <Bingfeng.hpp>
//---------------------------------------------------------------------------
class Toby : public Person
{
public:
    __fastcall Toby() : Person()
    {
        name = "偷比";
        gender = GD_MALE;
        relationship = RS_SINGLE;
        in->Hack.We("Trust");
    }
private:
    unsigned int age;
__published:
    String MyPost[] = {
    "[分享] 50W 50萬 五十萬 伍拾萬 500K 總整理",
    "[原創] 500K v181.3 ㄨˇㄕˊㄨㄢˋ 全職業50W 32/64位元 50萬",
    "[原創-ICS數據] TwMS v181.3 ICS 全職業50萬攻擊[已測試]",
    "[討論] C++寫外掛教學",
    "[分享] TwMS v181.3 IDB 補完計畫",
    "[抱怨] 現在這一輩就只有抄的份",
    "[重度病患] 100萬可用之子彈圖DIY 小黃點製作教學",
    "[分享] 如何使用數據教學",
    "[原創] 全圖打、吸怪不斷線總整理(2/7更新)",
    "[其它程式] beanfun!樂豆登入器 rev.3",
    "[重度病患] 楓之谷最新多開圖製作教學無碼免費",
    "[原創] Script Saver v1.3(Toby Version) 數據提取工具" };
};
//---------------------------------------------------------------------------
#pragma comment "A bitch will always be a bitch; a user will always be a user."
// It's totally true.
//---------------------------------------------------------------------------
回覆

使用道具 舉報

109

主題

2

好友

634

積分

技術師

高級初心者

Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15

UID
13639
帖子
6066
主題
109
精華
4
積分
634
楓幣
112057
威望
530
存款
0
贊助金額
0
推廣
31
GP
404
閱讀權限
100
性別
保密
在線時間
477 小時
註冊時間
2012-9-8
最後登入
2015-7-20

性別(女) 長老勳章 精華帖 發帖達人 積分勳章 除蟲大隊 貢獻王 2015年紀念勳章 富可敵國 論壇支持王 2015端午節紀念勳章 富豪勳章 神手勳章

5
發表於 2015-5-18 23:27:41 |只看該作者
不過我喜歡在HOOKCreateProcessW那裏先掛起進程,
待注入DLL後再恢復

//---------------------------------------------------------------------------
#include <Bingfeng.hpp>
//---------------------------------------------------------------------------
class Toby : public Person
{
public:
    __fastcall Toby() : Person()
    {
        name = "偷比";
        gender = GD_MALE;
        relationship = RS_SINGLE;
        in->Hack.We("Trust");
    }
private:
    unsigned int age;
__published:
    String MyPost[] = {
    "[分享] 50W 50萬 五十萬 伍拾萬 500K 總整理",
    "[原創] 500K v181.3 ㄨˇㄕˊㄨㄢˋ 全職業50W 32/64位元 50萬",
    "[原創-ICS數據] TwMS v181.3 ICS 全職業50萬攻擊[已測試]",
    "[討論] C++寫外掛教學",
    "[分享] TwMS v181.3 IDB 補完計畫",
    "[抱怨] 現在這一輩就只有抄的份",
    "[重度病患] 100萬可用之子彈圖DIY 小黃點製作教學",
    "[分享] 如何使用數據教學",
    "[原創] 全圖打、吸怪不斷線總整理(2/7更新)",
    "[其它程式] beanfun!樂豆登入器 rev.3",
    "[重度病患] 楓之谷最新多開圖製作教學無碼免費",
    "[原創] Script Saver v1.3(Toby Version) 數據提取工具" };
};
//---------------------------------------------------------------------------
#pragma comment "A bitch will always be a bitch; a user will always be a user."
// It's totally true.
//---------------------------------------------------------------------------
回覆

使用道具 舉報

49

主題

11

好友

549

積分

迷你贊助會員

Rank: 3Rank: 3

UID
92994
帖子
842
主題
49
精華
0
積分
549
楓幣
11675
威望
503
存款
0
贊助金額
100
推廣
0
GP
8
閱讀權限
30
性別
保密
在線時間
414 小時
註冊時間
2015-2-23
最後登入
2024-10-20

積分勳章 解說達人 論壇支持王 論壇粉絲 VIP會員 懶人勳章 太陽勳章 性別(女) 性別(男) 音樂勳章 神手勳章 2015年紀念勳章 長老勳章 Apple勳章 私服達人 發帖達人 2023年紀念勳章

6
發表於 2015-5-19 00:47:38 |只看該作者
有神快拜
回覆

使用道具 舉報

67

主題

6

好友

225

積分

技術師

Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15

UID
7067
帖子
2823
主題
67
精華
0
積分
225
楓幣
20085
威望
181
存款
19856
贊助金額
0
推廣
0
GP
1671
閱讀權限
100
性別
保密
在線時間
870 小時
註冊時間
2012-3-23
最後登入
2024-12-15
7
發表於 2015-5-19 11:01:46 |只看該作者
先推~

學習了<(_ _)>
[發帖際遇]: Doem 欲向「咬蚊子」購買機關槍,卻不慎購買到「Togi」,花費 2 楓幣 幸運榜 / 衰神榜
回覆

使用道具 舉報

48

主題

2

好友

1050

積分

技術師

Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15

UID
84499
帖子
985
主題
48
精華
0
積分
1050
楓幣
4380
威望
1017
存款
0
贊助金額
0
推廣
0
GP
0
閱讀權限
100
性別
保密
在線時間
668 小時
註冊時間
2014-11-21
最後登入
2022-4-24

積分勳章 解說達人 論壇粉絲 發帖達人 論壇支持王 懶人勳章 長老勳章 2015年紀念勳章

8
發表於 2015-5-19 16:46:31 |只看該作者
先推了~

慢慢來研究XD

m(_ _)m
回覆

使用道具 舉報

33

主題

5

好友

97

積分

迷你贊助會員

Rank: 3Rank: 3

UID
4445
帖子
1036
主題
33
精華
0
積分
97
楓幣
698
威望
38
存款
0
贊助金額
150
推廣
0
GP
74
閱讀權限
30
性別
保密
在線時間
428 小時
註冊時間
2012-2-9
最後登入
2024-11-4

2022端午節紀念勳章

9
發表於 2015-5-20 00:53:18 |只看該作者
我想問現在楓之谷引進了BlackCipher2 這套防掛軟體
還是有破解機會麻
回覆

使用道具 舉報

20

主題

1

好友

145

積分

技術師

Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15

UID
100173
帖子
53
主題
20
精華
0
積分
145
楓幣
10467
威望
141
存款
0
贊助金額
0
推廣
0
GP
88
閱讀權限
100
性別
保密
在線時間
75 小時
註冊時間
2015-4-23
最後登入
2022-5-4
10
發表於 2015-5-20 01:26:03 |只看該作者
QQDOG0908 發表於 2015-5-20 00:53 [url=forum.php?mod=redirect&goto=findpost&pid=1022188&ptid=127901][/url]
我想問現在楓之谷引進了BlackCipher2 這套防掛軟體
還是有破解機會麻

= =好像没用这个把?

點評

QQDOG0908  小弟不才 我剛剛有去爬文了 確定NG這部份 就是BC2的部份 因位CSO也是用這套 大大 請短銷 小弟有事要妳幫忙  發表於 2015-5-20 01:47
回覆

使用道具 舉報

無效樓層,該文已經被刪除

33

主題

5

好友

97

積分

迷你贊助會員

Rank: 3Rank: 3

UID
4445
帖子
1036
主題
33
精華
0
積分
97
楓幣
698
威望
38
存款
0
贊助金額
150
推廣
0
GP
74
閱讀權限
30
性別
保密
在線時間
428 小時
註冊時間
2012-2-9
最後登入
2024-11-4

2022端午節紀念勳章

12
發表於 2015-5-20 02:12:48 |只看該作者
syoath 發表於 2015-5-20 01:26 [url=forum.php?mod=redirect&goto=findpost&pid=1022231&ptid=127901][/url]
= =好像没用这个把?

大大  請到消息那邊 我有事情要妳幫忙
[發帖際遇]: QQDOG0908 為了響應政府幫企業「做功德」,打工十小時領取工資 6 楓幣 幸運榜 / 衰神榜
回覆

使用道具 舉報

20

主題

1

好友

145

積分

技術師

Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15

UID
100173
帖子
53
主題
20
精華
0
積分
145
楓幣
10467
威望
141
存款
0
贊助金額
0
推廣
0
GP
88
閱讀權限
100
性別
保密
在線時間
75 小時
註冊時間
2015-4-23
最後登入
2022-5-4
13
發表於 2015-5-20 13:17:15 |只看該作者
QQDOG0908 發表於 2015-5-20 02:12 [url=forum.php?mod=redirect&goto=findpost&pid=1022298&ptid=127901][/url]
大大  請到消息那邊 我有事情要妳幫忙

NGS的在枫古 用的不是2
回覆

使用道具 舉報

83

主題

0

好友

422

積分

高級贊助會員

新垣结衣

Rank: 20Rank: 20Rank: 20Rank: 20Rank: 20

UID
83847
帖子
533
主題
83
精華
0
積分
422
楓幣
10729
威望
70
存款
1300
贊助金額
1300
推廣
0
GP
117
閱讀權限
150
在線時間
547 小時
註冊時間
2014-11-1
最後登入
2024-12-18

高級客戶 幼兒勳章 太陽勳章 神手勳章 懶人勳章 VIP會員 私服達人 發帖達人 論壇粉絲 解說達人 貢獻王 音樂勳章 2015年紀念勳章 2016年紀念勳章 論壇支持王 2018年紀念勳章 長老勳章 2019端午節紀念勳章 積分勳章 2019年紀念勳章 2020年紀念勳章 2020端午節紀念勳章 2020聖誕節紀念勳章

14
發表於 2015-5-20 22:03:54 |只看該作者
可怜的程序猿,今天约了吗

點評

syoath  程序猴的世界,你等屌丝能懂?,并不能,快,加入我等!  發表於 2015-5-21 03:22
回覆

使用道具 舉報

33

主題

5

好友

97

積分

迷你贊助會員

Rank: 3Rank: 3

UID
4445
帖子
1036
主題
33
精華
0
積分
97
楓幣
698
威望
38
存款
0
贊助金額
150
推廣
0
GP
74
閱讀權限
30
性別
保密
在線時間
428 小時
註冊時間
2012-2-9
最後登入
2024-11-4

2022端午節紀念勳章

15
發表於 2015-5-20 23:19:57 |只看該作者
syoath 發表於 2015-5-20 13:17 [url=forum.php?mod=redirect&goto=findpost&pid=1022648&ptid=127901][/url]
NGS的在枫古 用的不是2

正確  是這樣沒錯  但是大大 妳是否可以看一下消息  我有事情需要跟妳做連繫
回覆

使用道具 舉報

您需要登入後才可以回文 登入 | 立即註冊

廣告刊登意見回饋關於我們管群招募本站規範DMCA隱私權政策

Copyright © 2011-2024 冰楓論壇, All rights reserved

免責聲明:本網站是以即時上載留言的方式運作,本站對所有留言的真實性、完整性及立場等,不負任何法律責任。

而一切留言之言論只代表留言者個人意見,並非本網站之立場,用戶不應信賴內容,並應自行判斷內容之真實性。

小黑屋|手機版|冰楓論壇

GMT+8, 2024-12-22 13:02

回頂部