Archive for the ' 玩转war3 ' Category

 26 Nov 2008 @ 3:37 下午 
 

lynnMH 1.4 【11.26更新】

 

=============lynnMH================
版本:1.4
功能:全面支持1.20e和1.22,全面支持浩方积分房(不修改平台任何数据),去除lpk方式以支持vista。lynnMH的主要特色在于并不修改游戏平台的任何内存数据来开全图。
说明:运行时需放war3目录。开了lynnMH,其他修改war3内存的外挂均不能正常使用!
过平台情况:VS,HF,GG,其他未测试平台应该能轻易通过!

任何问题请到lynn论坛:http://bbs.pleee.com反馈

下载请到http://bbs.pleee.com冰封王座板块

2008.11.25更新:
1.修复1.22掉线问题,全面支持1.22
2.全面支持浩方积分房,没有修改平台任何内存数据
3.原来的三种方式都删了,更易操作,轻松还原,支持vista系统
4.增加过dota-ah,交易助手
5.1.22退出时war3.exe不能自行关闭,请任务管理器手动关闭,这个bug也许无法修复!

2008.9.9更新:
1.针对vs更新了lpk方式,注意使用前先删除上个版本在war3目录里生成的lpk.dll。
2.增加版本检测,有新版本的时候会提示。
3.修正程序bug,欢迎到www.pleee.com提交bug

2008.7.30更新:
1.版本1.2
2.更新不大,主要是lpk方式有所改变,使用前请先删除上个版本在war3目录里生成的lpk.dll。

2008.7.23更新:
1.版本1.1
2.增加对魔兽1.22(剑心补丁版)的支持
3.提供三种MH方式可供选择,推荐lpk方式

Tags Categories: 玩转war3 Posted By: lynn
Last Edit: 26 Nov 2008 @ 03 37 下午

E-mailPermalinkComments (2)
 03 Nov 2008 @ 9:02 下午 
 

CoolMH 1.0发布

 

==============CoolMH 1.0================

说明:此MH需按键才能显示全图,而且可能掉线,具体请参考程序运行界面里的说明。
此MH实际上可以算是半成品,因为可能会掉线,不过如果是主机会将把对方T出去,所以又可以算是主机必胜。
暂时只支持1.20e,1.22实际上可以随时出来,不过我想先解决掉线问题。

热键修改:
打开KEY.txt, VK_后面的就是按键的提示说明,比如VK_LBUTTON代表鼠标左键,后面的0×01就是我们要的数值,在CoolMH的那个热键里填写01就是了。
那个不懂的话自己研究下,别来问我,我很忙的。

申明:
CoolMH属lynn原创作品,版权仅归lynn所有,非任何论坛原创,转载时请注明出处:www.pleee.com

========================================
很多人要CoolMH,今天心情好就送出来了。其实也没更新啥,就是去掉了退出时的广告以及使隐藏进程有效。

Tags Tags:
Categories: 作品集, 玩转war3 Posted By: lynn
Last Edit: 03 Nov 2008 @ 09 40 下午

E-mailPermalinkComments (12)
 06 Oct 2008 @ 9:53 下午 
 

关于MH的一个思路~~~

 

最近在看rookit,看到了这本比较短的科普资料:Inside Windows Rootkits.pdf。让我见识了一种很新奇——当然对我来说——的隐藏rootkit的方法或者说是思路,叫Shadow walker ,下面是简介,不过是英文的,:P

Shadow walker

While kernel-level rootkits have generally focused on hiding processes, files, and registry keys,
there is one resource that rootkits have not traditionally aimed to hide: memory.              For rootkits, this
is a serious flaw, because it opens up the opportunity to detect them by scanning memory.                   At
BlackHat USA 2005, Jamie Butler and Sherri Sparks presented Shadow Walker, a rootkit that
aims to control the view that the operating system has on certain memory regions in a manner
that allows a rootkit to hide itself in memory [22].       The goal of Shadow Walker is to give a benign
view of memory regions that contain the rootkit whenever a request is made to read the memory,
but to give the true view of the rootkit whenever a request is made to execute code in the
memory.     In this way, when a scanner reads the memory to compare it to signatures, the scanner
does not see the rootkit’s code.

To accomplish this, Shadow Walker marks all of the rootkit’s memory as being paged out to disk,
causing a page fault to occur whenever the memory is accessed.                It then hooks the page fault
handler with code that determines whether the request was made to read the memory or execute
it. Depending on the nature of the request, Shadow Walker can either point to physical memory
holding the rootkit code, or physical memory holding benign data.

There are a number of ways to detect the presence of Shadow Walker.                  For example, its page
fault handler hook is implemented as an IDT hook, which, as discussed earlier,  can be detected.
Also, rootkit code is almost always in non paged memory, which cannot be paged out.                    Shadow
Walker marks this non paged memory as being paged out, which is a sign of its presence.                     Still,
Shadow Walker is a clever concept, and it adds yet another place to focus when attempting to
detect rootkits on a compromised system.

大概的意思就是无论rootkit怎么隐藏,它总会在内存里留下痕迹,那么我们就从内存入手来隐藏。把rootkit的执行代码放入分页内存中,这样当要读取、写入或者运行这段代码的时候就会引起分页故障,于是要转入相应的程序来处理,我们就可以hook这个处理程序,只有当由运行这段代码的时候才是rootkit真正的原本的面目,其余特别是读取代码页的时候就指向假的内存页,这样就不会发现rootkit了(假设是根据特征码检测rootkit)。上面最后那段文字可以不管,说的要检测这样的rootkit还是由很多种办法的,因为它要hook,但是它的思路是很好的!

所以如果MH做到驱动去了,HOHO,那办法就是相当地多了~~~

Tags Categories: 专业技术, 玩转war3 Posted By: lynn
Last Edit: 06 Oct 2008 @ 09 53 下午

E-mailPermalinkComments (0)
 24 Sep 2008 @ 8:58 下午 
 

CoolMH完工,私藏版本,暂时不发布

 

这个不多说了,私藏版本,http://www.coolwar3.com上的积极会员可以得到,顾名思议,cool系列专为酷我魔兽论坛打造。

最开始的设计就是为了过所有平台,我这里透露一下技术细节:因为现在的MH无非就是内存补丁和修改game.dll方式,这两类MH皆是修改game.dll里面的指令,有很大的局限性。只需对game.dll的.text段(因为这里都是指令,运行时内存不会变化)进行md5校验即可,浩方就是这样做的,浩方对当前所有流行的game.dll都进行了md5测试,保存下数据,然后再跟war3运行时game.dll里的md5数值进行一一对照,不相符就让你挂掉。除非你直接修改浩方程序,否则当前流行的所有mh都不能正常运行。

基于以上弊端,CoolMH出炉了,CoolMH不是修改指令而是修改.data段的数据!因为无论你怎么修改指令,最终的目的不过是修改数据,比如把0隐藏修改成1显示,这样全图就形成了!而正常情况下.data段的数据是一直不断变化的,那么多数据,你怎么知道哪些是正常的,哪些是我们全图要修改过的不正常的,平台根本无法检测!

另外,为了防止vs读取进程内存,特别搞了个ring3级下的进程隐藏,隐藏代码是网上copy的,要检测也是很容易的。

好了,透露这么些也差不多了。私藏版本并不说明我不敢拿出来,暂时觉得没必要,先为酷我论坛加些人气吧。等lynnMH1.3被VS检测出来了,我再放不迟。

Tags Tags:
Categories: 玩转war3 Posted By: lynn
Last Edit: 01 Nov 2008 @ 10 41 上午

E-mailPermalinkComments (2)
 12 Sep 2008 @ 10:49 下午 
 

干掉浩方,CoolHF出炉!

 

浩方都5.0了,上午玩了一盘真三,感觉还不错。当然,我没用mh,浩方跟我同水平的菜鸟比较多:)

随后我打开lynnMH,开始验证浩方积分房的反作弊。可喜的是,三种mh均不能正常运行,这下有活干了。

浩方有个好处就是任凭你开MH还是挤房,它都不封号,相比龌龊的vs却打起了买道具解封的算盘。所以,浩方测试起来很是放心,随便搞,随便弄,随便xxx……

功夫不负有心人,虽然今天状态不太佳,但是 More »

Tags Tags:
Categories: 玩转war3 Posted By: lynn
Last Edit: 01 Nov 2008 @ 10 42 上午

E-mailPermalinkComments (0)
Previous Entries
\/ More Options ...
Last 50 Posts
Register an account
Change Theme...
  • Users » 1
  • Posts/Pages » 41
  • Comments » 255
Change Theme...
  • VoidVoid
  • LifeLife « Default
  • EarthEarth
  • WindWind
  • WaterWater
  • FireFire
  • LiteLight
  • No Child Pages.