level 13
就是改了dll入口点到新加的洞穴函数,这个函数从sotes.exe内存开头寻找两个检查授权的函数patch成返回1,以及patch所有场景剧情函数开头比较授权凭证信息的地方。
2023年08月16日 09点08分
1
level 13
用这种push call pop的形式又不省字节,估计也是为了混淆。这种改了入口点和用特殊call方法的ida无能为力,只能自己分析找真正入口点对照其他dll来命名库函数,排除后就可以专心分析、组织剩余的函数。
2023年08月16日 10点08分
3
