lynn's blog

每年差不多这个时候都会期待周杰伦的新专辑。最近很忙，没有怎么去打听杰伦的消息，今天打开kugoo去看了看新歌，惊喜地看到了杰伦的这首《稻香》。

《稻 香》 词：周杰伦 曲：周杰伦

　　对这个世界如果你有太多的抱怨

　　跌倒了就不敢继续往前走

　　为什么人要这么的脆弱 堕落

　　请你打开电视看看

　　多少人为生命在努力勇敢的走下去

　　我们是不是该知足

　　珍惜一切 就算没有拥有

　　还记得你说家是唯一的城堡 随着稻香河流继续奔跑

　　微微笑 小时候的梦我知道

　　不要哭让萤火虫带着你逃跑 乡间的歌谣永远的依靠

　　回家吧 回到最初的美好

　　不要这么容易就想放弃 就像我说的

　　追不到的梦想 换个梦不就得了

　　为自己的人生鲜艳上色 先把爱涂上喜欢的颜色

　　笑一个吧 功成名就不是目的

　　让自己快乐快乐这才叫做意义

　　童年的纸飞机 现在终于飞回我手里

　　所谓的那快乐 赤脚在田里追蜻蜓追到累了

　　偷摘水果被蜜蜂给叮到怕了 谁在偷笑呢

　　我靠着稻草人吹着风唱着歌睡着了

　　哦 哦 午后吉它在虫鸣中更清脆

　　哦 哦 阳光洒在路上就不怕心碎

　　珍惜一切 就算没有拥有

　　还记得你说家是唯一的城堡 随着稻香河流继续奔跑

听杰伦的歌我很少去注意歌词的，这次不同了，杰伦是有意识地要表达了一种感受了。不用怀疑这词一定是杰伦写的，就跟早期的《梯田》那样，杰伦是要表达一种感受，一个看法了。很欣喜能从他的歌中听到跟乡土有关的词。童年能在跟大自然亲密接触的农村过真的是一种幸福，虽然少了很多物质上的满足，但是却获得了大自然的灵气以及难以忘怀的金色稻田，还有那些想捕捉下来的可爱的蜻蜓，最后是大自然的舒适和宁静。这些都是出生在喧闹浮躁的城市里的孩子所不能够享受到的，这些美好的回忆是真正值得我回味和珍藏的~~~

这个不多说了，私藏版本，http://www.coolwar3.com上的积极会员可以得到，顾名思议，cool系列专为酷我魔兽论坛打造。

最开始的设计就是为了过所有平台，我这里透露一下技术细节：因为现在的MH无非就是内存补丁和修改game.dll方式，这两类MH皆是修改game.dll里面的指令，有很大的局限性。只需对game.dll的.text段（因为这里都是指令，运行时内存不会变化）进行md5校验即可，浩方就是这样做的，浩方对当前所有流行的game.dll都进行了md5测试，保存下数据，然后再跟war3运行时game.dll里的md5数值进行一一对照，不相符就让你挂掉。除非你直接修改浩方程序，否则当前流行的所有mh都不能正常运行。

基于以上弊端，CoolMH出炉了，CoolMH不是修改指令而是修改.data段的数据！因为无论你怎么修改指令，最终的目的不过是修改数据，比如把0隐藏修改成1显示，这样全图就形成了！而正常情况下.data段的数据是一直不断变化的，那么多数据，你怎么知道哪些是正常的，哪些是我们全图要修改过的不正常的，平台根本无法检测！

另外，为了防止vs读取进程内存，特别搞了个ring3级下的进程隐藏，隐藏代码是网上copy的，要检测也是很容易的。

好了，透露这么些也差不多了。私藏版本并不说明我不敢拿出来，暂时觉得没必要，先为酷我论坛加些人气吧。等lynnMH1.3被VS检测出来了，我再放不迟。

一篇小小的脱文。
DNF就是那个地下城啥游戏，全称我记不清楚，就是现在qq代理的一款游戏，听说很火。很火的游戏一般外挂也会泛滥，呵呵，我是没兴趣也没那个能力去搞这个游戏的外挂了。破解外挂我倒挺有兴趣的:)
下面为DNF的小可爱外挂1.2版的破解记录，发上来为博客文章凑个数：
Armadillo find protected 1.3.exe查：
<——- 21-09-2008 19:46:27 ——->
C:\Documents and Settings\Administrator\桌面\小可爱外挂1.2版\启动小挂.exe
!- Protected Armadillo
Protection system (Professional)
!-
Standard protection or Minimum protection
!-
Fixed Backup Keys
!-
Minimal/Fastest Compression
!-

可用的key:
XXXX-XXXX
XXXX
XXXX-XXXX-XXXX-XXXX

按脱文脱：
http://www.chinaitpower.com/2006Aug/2006-12-13/221847.html

00CC59F6 8B4481 18 mov eax, dword ptr [ecx+eax*4+18]

本机：
2AC5-5ADB

00CC59FA 35 8AC0E665 xor eax, 65E6C08A

然后可以注册了，但是单进程脱壳……不会。。
直接用fly的脚步脱了，结果提示invalid data，以为有自校验，不过看作者水平不太一般不会，用OD跟了下dump文件，结果发现是易语言写的！
哈哈，易语言的脱壳机很厉害的！

脱了壳的主程序文件我就不上传上来了。

补：请不要向我索取破解文件

今天上QQ，好友跟我说War3Drop不能用了，加我更新下。我立马打开VS测试War3Drop是什么情况。
以VS的伎俩，对付不败这类外挂，一般是跟窗口名来判断是否使用不败，因为内存检测是查不出不败的，不败修改内存后马上恢复，其间隔时间比VS检测内存hash（md5）要短得多，故而可以躲过检测。
然而根据窗口名和窗口类名来检测不败的手段的弊端又是显而易见的，我的War3Drop就专门针对这个来了个随即窗口名（类名是一般对话框的类名可以不管），但是今天测试了下，确实被“封”了。
这让我很惊奇，VS一向“很搓”，它的一些很低级的反作弊伎俩我都是熟知的，但这回我漏掉了。这就是VS要检测别的进程内存了，这也就是所谓的内存特征码，因为VS使用这个手段不多，以前只对war3内存检测，现在检测到别的进程中去了。
下面只说War3Drop被封的特征码：
地址：0040AA3C
数据：570061007200630072006100660074002000490049004900
这个其实就是unciode的”Warcraft III”，在War3Drop中找war3窗口所要用到的字符串。我估计VS的技术人员没几个懂逆向。这个特征码让我觉得很搞笑。
哎，VS啊，VS，对你实在很无语……

很久没打听南拳妈妈的消息了，今天打开kugoo，直奔“新歌TOP500”，发现竟然有南拳的歌在榜上。南拳的歌我是一定要听的，尤其比较早的那几张专辑，但是貌似南拳的那些歌不是大众的口味，很难看到榜上有南拳的歌，所以上了榜的歌我更是要听听了。
真的很喜欢lara，尤其是她的声音，现实中你很难听到这么好听的声音了。
这首《下雨天》，可以说lara把她美妙的声音发挥到了极致，听着特别舒润。

这两天没啥大的动静，在搞MH——呵呵，如果说前面的lynnMH是盗版的，那么这个CoolMH就是我的独创了。
先看下半成品：

此MH专门为过所有平台而设计，非常优雅简洁。MH的方式就很特别，是要按下一个键才能显示全图，不按就恢复正常，有点神出鬼没的感觉~~
不过此MH为私藏品，暂时不会拿来发布，留着自己玩。