LOL无限视距单exe文件来过掉LOL检测

失心疯〆

LOL无限视距单exe文件来过掉LOL检测

自己也编译了一份不同于过检测的无限视距程序。
为了达到效果，我把无限视距调用的模块和过检测版的模块调用的一模一样，。

这里可以解答为什么过检测版本的exe单程序会修改主页，因为过检测版本调用了懒人模块的无驱读写，调用懒人模块就会修改主页为2345.
这里其实不太明白为什么原作者不用其他模块的无驱读写，偏要使用懒人的。
在这里有必要强调，并不是懒人模块的无驱读写能过检测，是因为作者利用了封包拦截技术。
接着分析，作者封包拦截用的是超级模块


如图所示，作者通过调用super-ec来实现封包拦截。
可惜我技术有限，研究不出其他的。
GetSystemWow64DirectoryA这个DLL命令，目前我在百度上找不到参数，
查询API库只能找到GetSystemWowDirectoryA这个命令，调用kernel32.dll。
接着，send  recV WSARecv  WSASend 找到的命令如图，调用Super-ec





但是最关键的Connect函数这里卡住了
sleep函数在易语言中的写法为 延时(1000)或  延迟(1000)
Comspec这个我还没有弄明白。
ISWow64Process的DLL命令，依然是调用kernel32.dll
[url=]复制代码[/url]

• .版本 2
• .子程序 系统_是否为Win32平台, 逻辑型, 公开, 检测当前系统是否为Windows 32位系统，返回真则为Win32位系统，返回假为Win64位系统。
• .局部变量 SysInfo64, SYSTEM_INFO
• .局部变量 ret
• IsWow64Process (取当前进程伪句柄_ (), ret)
• 返回 (选择 (ret ＝ 0, 真, 假))
• .' 如果 (ret ＝ 0)
•     ' 信息框 (“此应用程序没有运行在x86的64位计算机上的模拟器！”, 0, )
• .否则
•     ' GetNativeSystemInfo (SysInfo64)
•     ' 信息框 (“你的64位系统上的处理器数量：” ＋ 到文本 (SysInfo64.dwNumberOrfProcessors), 0, )
• .如果结束
  

[url=]复制代码[/url]

• .版本 2
• .数据类型 SYSTEM_INFO, , 系统信息;
•     .成员 dwOemID, 整数型
•     .成员 dwPageSize, 整数型
•     .成员 lpMinimumApplicationAddress, 整数型
•     .成员 lpMaximumApplicationAddress, 整数型
•     .成员 dwActiveProcessorMask, 整数型
•     .成员 dwNumberOrfProcessors, 整数型
•     .成员 dwProcessorType, 整数型
•     .成员 dwAllocationGranularity, 整数型
•     .成员 dwReserved, 整数型
  

[url=]复制代码[/url]

• .版本 2
• .DLL命令 GetNativeSystemInfo, , "kernel32", "GetNativeSystemInfo"
•     .参数 lpSystemInfo, SYSTEM_INFO
• .DLL命令 IsWow64Process, 整数型, "kernel32", "IsWow64Process"
•     .参数 hProcess, 整数型
•     .参数 Wow64Process, 整数型, 传址
• .DLL命令 取当前进程伪句柄_, 整数型, "kernel32.dll", "GetCurrentProcess", , GetCurrentProcess
  

分析到这，就是我目前的能力，可能写的一堆都是废话，只是纯粹的对封包拦截的好奇，
希望有大神能够帮助我解决这些难题。


联系我时，请说是在 挂海论坛 上看到的，谢谢！

czvv

这样也行。。。？

半边莲

真是被感动的痛哭流涕……

f186111

不错 支持下

f186111

求沙发

diddom

秀起来~

qqshqq

LZ是天才，坚定完毕

西木8023

楼主很给力哈,在此代表需要的人对楼主表示无尽的感激之情