最MC论坛
标题: 举报用户 Jeawel 在辅助软件发布空壳软件/简称水贴(附大量数据作为证据) [打印本页]
作者: Eric_Stevens 时间: 2016-8-6 22:11
标题: 举报用户 Jeawel 在辅助软件发布空壳软件/简称水贴(附大量数据作为证据)
本帖最后由 Eric_Stevens 于 2016-8-7 13:31 编辑
天下武功,唯快不破
你可能骗得了别人,但你骗不了自己
你可能自以为高明,但终有露馅的时刻
近日,论坛用户@Jeawel 在辅助软件板块中,发布了其软件“天天启动器”(地址:http://www.zuimc.com/forum.php?mod=viewthread&tid=51111)
乍看截图发现程序除了丑了点,倒是没什么异常,可是下载后初次启动却发现似乎所有的用户输入控件的值都是预先设定好的,和此用户在帖子中介绍的“自动获取Java、游戏昵称、游戏文件名”完全不同,这就使我起了疑。而且我在启动器中填写了正确参数后点击“启动游戏”后,启动器除了最小化外未做任何操作。于是我就开始了以下分析:
首先是句柄分析,通过微软的Spy++获取到窗口句柄后发现,窗体的类型是“AAU_FORM”,经过查找后发现是AArdio生成的应用程序的窗体类型,程序中图片的类型“AAPicturePlus2”更是使我确信了这一点。目前AArdio还没有Minecraft启动的Example,Jeawel为什么不搞一个大新闻把源码发到aa论坛呢?另外在控件分析中可以得出,此程序UI主体由7个图片控件组成,也就是说UI完全是由图片拼凑而成的,毫无质量可言。
其次是内存注入分析,Jeawel在帖子中声称其程序可以自动检测系统用户名作为游戏昵称,这么说应该只可能在程序的运行内存中抓取到程序输出的“Administrator”(注:本人用户名并非此值,程序的输出已经说明了其错误的判断),而在程序的代码中无法抓取,但是在通过两个软件:CheatMaker和由蜡笔小猪开发的内存修改器查询后,发现其程序不仅仅是UI线程拥有Administrator值,其代码中也有,其他关于java的所谓自动检测也是如此。
最后,在Filemon的IO监控中,只检测到了程序启动时调用了硬盘,Minecraft启动时硬盘操作什么也没有发生。另外启动时也没有出现java进程,说明了此软件根本无法启动Minecraft!系空壳软件。
关于游戏昵称的值是否为程序自动查找的内存注入分析数据:
UI线程:- 0712DD30 41 00 64 00 6D 00 69 00 6E 00 69 00 73 00 74 00
- 0712DD40 72 00 61 00 74 00 6F 00 72 00
- A.d.m.i.n.i.s.t.r.a.t.o.r.
窗体Spy++数据:
- -67214, 天天Minecraft - 我的世界启动器{AAU_FORM[TID:2540]}
- -67218, {AAPicturePlus2}
- -67220, 天天Minecraft启动器{Static}
- -67222, {AAPicturePlus2}
- -67224, {AAPicturePlus2}
- -67226, {AAPicturePlus2}
- -67228, {AAPicturePlus2}
- -67230, 启动Minecraft{AAPicturePlus2}
- -67232, 主页>设置{Static}
- -67234, *Java路径:{Static}
- -67236, {RICHEDIT50W}
- -67238, 游戏昵称:{Static}
- -67240, {RICHEDIT50W}
- -67242, 游戏文件名称:{Static}
- -67244, {ComboBox}
- -67248, {Edit}
- -67250, 保存到{Static}
- -67252, {ComboBox}
- -67256, {Edit}
- -67258, 最大内存由启动器自动分配
- -67260, {AAPicturePlus2}
作为技术人员,我相信自己的技术和直觉!
除非作者找出确凿证据证明其程序是真正实用的,不然我决不妥协!
请管理员认清事实,迅速处理。不要留给大家一个zuimc管理不想管,不敢管,不会管的印象!
你说我写了这么长可不可以申个精Σ(っ °Д °;)っ(逃
作者: York 时间: 2016-8-7 01:40
@qq525048187 围观围观
作者: Wolverine 时间: 2016-8-7 04:54
可以,这很分析
作者: xuan_lv233 时间: 2016-8-7 12:35
可以,这很分析
我居然几乎看不懂,只看懂了“空壳软件”qwq
作者: SD_profiterole 时间: 2016-8-8 14:03
我什么都不懂 看懂了administrator2333333
作者: DDMCloud 时间: 2016-8-8 16:56
[attach]13218[/attach]
没找到特征。。。不发表什么意见。。
作者: Jeawel 时间: 2016-8-8 19:07
提示: 作者被禁止或删除 内容自动屏蔽
作者: Eric_Stevens 时间: 2016-8-8 20:30
本帖最后由 Eric_Stevens 于 2016-8-8 20:36 编辑
Jeawel 发表于 2016-8-8 19:07 
楼主你无聊吗?Administrator是我在richedit文本中随便输入的一个,楼主居然拿着它较真。自动查找只是“未 ...
从未经过反编译,我用的都是外在的注入和抓包以及监测,你没看出来吗?据我所知,aardio的java虚拟机功能早在2012年其改名之前就已经发布。你的截图中只简单地出现了实例化后的java执行一段无效启动代码的函数,既没有导入类也没有引入参数,仍旧毫无意义。你说的所谓自动清除源码更是显出了你的拙劣,自己好好想想可行性。在.bat中植入启动参数的做法也是醉了。。
作者: Eric_Stevens 时间: 2016-8-9 11:01
Jeawel 发表于 2016-8-8 19:07
楼主你无聊吗?Administrator是我在richedit文本中随便输入的一个,楼主居然拿着它较真。自动查找只是“未 ...
除此之外,你的话中一会儿讲通过java的function来启动Minecraft,一会儿介绍说在bat中填入并开启Minecraft这一低效的方法,矛盾的话语说明了你缺乏一个编程爱好者对逻辑的基本操练。就连IDE的名字都会拼错更是体现了你敷衍的态度。你在原帖中说明了自动查询功能,却在这里故作轻蔑地说明是“随便”输入的。你的话语中到处都是毫无根据的吹嘘。你此前看见我对正则表达式的错误拼写就直接写了上去,更说明了你对此并无了解,只想套个近乎让别人认为对此谙熟于心。仔细看看你的回复,愚蠢而自相矛盾。
作者: Jeawel 时间: 2016-8-10 14:04
提示: 作者被禁止或删除 内容自动屏蔽
作者: Jeawel 时间: 2016-8-10 14:08
提示: 作者被禁止或删除 内容自动屏蔽
作者: Eric_Stevens 时间: 2016-8-10 17:06
Jeawel 发表于 2016-8-10 14:04
。。。楼主英语没学好吗,function的意思是函数,aatuo启动外部程序有点麻烦,我只是加了几句var函数来启 ...
function就是函数啊,你看看你的回复里你自己说java是函数而不是类型啊。启动外部程序会麻烦?示例里面一行就能解决。你这是在避开我的问题。
作者: 唯一。 时间: 2016-8-11 16:33
我想说,被举报人的启动器我们都打不开游戏怎么解释?@Jeawel
作者: MoYi 时间: 2016-8-12 19:06
本帖最后由 MoYi 于 2016-8-12 20:00 编辑
请被举报者您理性对待此事!请勿以您认为来判断这件事情,无谓的解释和抗拒是没用的,Zuimc的管理都是空饷???楼主发帖好几天了,怎么还不做出回应和处理方法??Zuimc的管理如此松懈??请Zuimc看看隔壁MCbbs,非常严格!严师出高徒,这句话真的很好!并且!我对被举报人也不满!被举报人的启动器是全原创??@Jeawel
作者: MoYi 时间: 2016-8-12 19:07
Jeawel此用户的表达有错误,自创了很多他的术语!!@Jeawel
作者: MoYi 时间: 2016-8-12 19:10
绝对与恶意份子对抗到底!!!绝对不同情恶意份子!
作者: lxf1290 时间: 2016-8-12 19:46
MoYi 发表于 2016-8-12 19:06
楼主请您理性对待此事!请勿以您认为来判断这件事情,无谓的解释和抗拒是没用的,Zuimc的管理都是空饷?? ...
1.此楼主已经说明出大量证据信息,我认为楼主不会判断错误。再说你是不是帮被举报者掩饰?
2.处理事件可不是立即处理完。
【温馨提示:请不要与MCBBS作比较,以免引战】
作者: Slime_mark 时间: 2016-8-13 07:57
xuan_lv233 发表于 2016-8-7 12:35
可以,这很分析
我居然几乎看不懂,只看懂了“空壳软件”qwq
看懂82%
作者: 唯一。 时间: 2016-8-15 01:14
已处理~感谢举报!
| 欢迎光临 最MC论坛 (http://www.zuimc.com/) |
Powered by Discuz! X3.2 |