逆向分析游戏大厅多开体.docVIP

本来我是很不情愿再写一篇OD逆向分析的,因为此时写这篇文章会很累,时间多,字也打得多，而且很可能会在一段时间后,游戏更新了,未来本文就会失效.但还是写了,为了大家,也给前面的做个佐证与一点补充.先创建一个QQ游戏大厅的进程,然后去创建第二个QQ游戏大厅进程时,会创建失败,并且第一个进程的大厅窗口会被激活置为前台,另外任务栏下的QQ游戏按钮也会被闪烁几下.会闪烁可是好事啊,可以给我们找关键的禁止双开的CALL提供很多的帮助.下面我们在开着第一个QQ游戏大厅的情况下,用OD载入第二个QQ游戏大厅程序,然后下断点在以下两个会终止进程的API上 ExitProcessTerminateProcessAPI断点设置如下： 在OD里按F9运行,会中断在 ExitProcess 上.见堆栈窗口情况: 0012FEDC? ?785421CC???Tx? ?/CALL 到 ExitProcess 来自 MSVCR90.785421C60012FEE0? ?....??\ExitCode = 0看堆栈提示,是 MSVCRT 领空的 785421C6处指令 MSVCRT 是VC++的运行时库,与易语言的核心库一样的概念.另外就是易语言与易核心库是用VC++编的,所以我们编写的易程序在运行时,也会加载这个 MSVCRT 运行库的现在我们直接复制完堆栈数