本帖最后由 Eric_Stevens 于 2016-8-7 13:31 编辑
天下武功,唯快不破
你可能骗得了别人,但你骗不了自己
你可能自以为高明,但终有露馅的时刻
近日,论坛用户@Jeawel 在辅助软件板块中,发布了其软件“天天启动器”(地址:http://www.zuimc.com/forum.php?mod=viewthread&tid=51111)
乍看截图发现程序除了丑了点,倒是没什么异常,可是下载后初次启动却发现似乎所有的用户输入控件的值都是预先设定好的,和此用户在帖子中介绍的“自动获取Java、游戏昵称、游戏文件名”完全不同,这就使我起了疑。而且我在启动器中填写了正确参数后点击“启动游戏”后,启动器除了最小化外未做任何操作。于是我就开始了以下分析:
首先是句柄分析,通过微软的Spy++获取到窗口句柄后发现,窗体的类型是“AAU_FORM”,经过查找后发现是AArdio生成的应用程序的窗体类型,程序中图片的类型“AAPicturePlus2”更是使我确信了这一点。目前AArdio还没有Minecraft启动的Example,Jeawel为什么不搞一个大新闻把源码发到aa论坛呢?另外在控件分析中可以得出,此程序UI主体由7个图片控件组成,也就是说UI完全是由图片拼凑而成的,毫无质量可言。
其次是内存注入分析,Jeawel在帖子中声称其程序可以自动检测系统用户名作为游戏昵称,这么说应该只可能在程序的运行内存中抓取到程序输出的“Administrator”(注:本人用户名并非此值,程序的输出已经说明了其错误的判断),而在程序的代码中无法抓取,但是在通过两个软件:CheatMaker和由蜡笔小猪开发的内存修改器查询后,发现其程序不仅仅是UI线程拥有Administrator值,其代码中也有,其他关于java的所谓自动检测也是如此。
最后,在Filemon的IO监控中,只检测到了程序启动时调用了硬盘,Minecraft启动时硬盘操作什么也没有发生。另外启动时也没有出现java进程,说明了此软件根本无法启动Minecraft!系空壳软件。
关于游戏昵称的值是否为程序自动查找的内存注入分析数据:
UI线程:- 0712DD30 41 00 64 00 6D 00 69 00 6E 00 69 00 73 00 74 00
- 0712DD40 72 00 61 00 74 00 6F 00 72 00
- A.d.m.i.n.i.s.t.r.a.t.o.r.
窗体Spy++数据:
- -67214, 天天Minecraft - 我的世界启动器{AAU_FORM[TID:2540]}
- -67218, {AAPicturePlus2}
- -67220, 天天Minecraft启动器{Static}
- -67222, {AAPicturePlus2}
- -67224, {AAPicturePlus2}
- -67226, {AAPicturePlus2}
- -67228, {AAPicturePlus2}
- -67230, 启动Minecraft{AAPicturePlus2}
- -67232, 主页>设置{Static}
- -67234, *Java路径:{Static}
- -67236, {RICHEDIT50W}
- -67238, 游戏昵称:{Static}
- -67240, {RICHEDIT50W}
- -67242, 游戏文件名称:{Static}
- -67244, {ComboBox}
- -67248, {Edit}
- -67250, 保存到{Static}
- -67252, {ComboBox}
- -67256, {Edit}
- -67258, 最大内存由启动器自动分配
- -67260, {AAPicturePlus2}
作为技术人员,我相信自己的技术和直觉!
除非作者找出确凿证据证明其程序是真正实用的,不然我决不妥协!
请管理员认清事实,迅速处理。不要留给大家一个zuimc管理不想管,不敢管,不会管的印象!
你说我写了这么长可不可以申个精Σ(っ °Д °;)っ(逃
| 
[复制链接]
雷达卡
发表于 2016-8-6 22:11:55
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
提升卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
发表于 2016-8-7 04:54:33
发表于 2016-8-7 12:35:23
楼主