请选择 进入手机版 | 继续访问电脑版
查看: 134|回复: 4

[建议] 关于'网易我的世界'电脑版的'工具箱'(外挂)问题

[复制链接]

1

主题

5

帖子

2

积分

Lv.1 新手木匠

UID
8727679
小麦
0
金锭
9
下界之星
0
发表于 6 天前 | 显示全部楼层 |阅读模式
近期网易我的世界进行了一些热更新,和谐了一个名为'LSP CL'的开端模组(Attach也可以)
但是一些工具箱作者更新了内存防封绕过了这个检测,并使得已经被和谐的'XZCL'&'OLD ATTACH CL'得以复活.
当然还有一些其他的方法,例如:网截(拦截启动器发送的进服封包,启动器封禁之后花雨庭不会16,当然也有弊端那就是账号是一次性的)
                                              线程防封(在启动器加载api-ms-win-crt-utility-l1-1-1.dll结束线程开始地址结尾为"5EB"的线程,但目前听说已经被和谐了)
                                              拦截启动器封号(原理是Hook WPFLauncher.Network.Service.yn内的子程序使得封号后不会调用'网络断开连接'的窗口实现防封(下次登录照样封                                                                                                 
                                              禁,15分钟后发包会提示'请先登录'))个人感觉这个没啥用

回归正题,本人有幸拿到了最新的内存防封的原代码,本人目前了解的原理思路:
内存修改开头为yv66vgAAAD(可能是注入的Class)的字符串改为其他的字符串,这种方法可以使得CL检测被彻底拉胯.
或者内存修改nativeTransformer等类似字符串改为其他的字符串,这种方法更容易,并且不用一次更新就得找十几个地址.
(这边附上部分地址)
41x624;420x28;41x3x0;416x31;4x8x96;419x80;4x0176;42x224;420x92;42x632;431x84;441x44;

另附DeleteMods反馈:
此方法为删除网易客户端mods文件夹内结尾为@3@0的核心文件(例如RPC就包含在里面)
然后替换自己修改的mods(删空模组.jar内的文件留下一个modid)
然后启动客户端,当游戏窗口出现时搜索替换mods的MD5特征为网易原本模组的MD5特征

本人对网易更新的一些建议:
把CL检测移动到Version Check的部分
修改对Mod文件特征的检测思路
添加对启动器以及Java的api-ms-win-crt-utility-l1-1-1.dll的内存检测,读取关键部分内存防止不被修改
添加对启动器以及Javaw进程的线程保护,防止线程被恶意结束
添加回launchwrapper内的模组检测(里面还有个Attach检测不知道有没有被调用)
添加对Jvm.dll启动后是否被占用的检测(一般的Attach修复都是给jvm.dll创建一个短连接至他们修改的jvm.dll(一般是互换StartAttachListener和DisableAttachMechanism的位置),原本的jvm.dll不会被占用)

1

主题

5

帖子

2

积分

Lv.1 新手木匠

UID
8727679
小麦
0
金锭
9
下界之星
0
 楼主| 发表于 6 天前 | 显示全部楼层
补充一点,Jvm

1

主题

5

帖子

2

积分

Lv.1 新手木匠

UID
8727679
小麦
0
金锭
9
下界之星
0
 楼主| 发表于 6 天前 | 显示全部楼层
补充一点Jvm占用检测用处不大,建议添加对Attach Listener线程的检测

1

主题

5

帖子

2

积分

Lv.1 新手木匠

UID
8727679
小麦
0
金锭
9
下界之星
0
 楼主| 发表于 6 天前 | 显示全部楼层

按错了略略略

0

主题

2442

帖子

625

积分

玩家版主

UID
8492032
小麦
13
金锭
2154
下界之星
0
发表于 5 天前 | 显示全部楼层
感谢楼主反馈。这个情况我们反馈一下哦
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

返回顶部