DLL加载器,脱DLL壳使用,或者改dll内存特征码的时候,可以载入dll,然后用内存查杀测试是否报警。
今天从pediy下载的 Dll_LoadEx,工具是英文的,我在百度和google上面搜索好像没有这个工具的汉化下载,于是简单的汉化了下。
使用案例:
仙剑奇侠传四 (以下简称仙四) 简体版已经发售有些时日,网上绕过前两道加密的办法也出来了。亲测可行,简单写一下:
一,用 Dll_LoadEx 载入 PAL4P.dll,或破解的 PAL4Extend.dll 替换原版再跑 PAL4.exe,跳过激活码验证;
二,用 Daemon Tools Pro 4.10 (模拟选项全关) 载入 CD4 的 mdf 镜像 (不是 mds,文件类型选 *.*),跳过虚拟光驱检测。
最后的光盘序号校验暂时没有理想的解法,不过都这步了,估计快了。但是照这思路做下去,完美破解基本上很难。看看原版仙四作为一个单机游戏,到底装了多少不相干的玩意:
安装时要跑三个 msiexec.exe、一个 IDriver.exe、一个 IDriverT.exe、一个 setup.exe 和一个 SETUP.DLL,加起来物理内存 48M 以上、虚拟内存 22M 以上,这还是等待换盘的状态下;
安装程序使用恶心的 InstallShield (以下简称 IS),还自带一套 Update Manager 用来更新。装完弹出 IS 的配置对话框,默认勾选自动升级仙剑四和 IS 本身 (莫非……仙四制作组连升级功能都写不出?),并在控制面板里添加快捷方式 (删除方法:开始>运行>cmd>del X:WinDirSystem32ISUSPM.cpl),开始菜单也有;
注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 添加 ISUSPM.exe 和 issch.exe 这两个 IS 的 UpdateService,设定了不自动更新还要自启动两个。服务里多出个 InstallDriver Table Manager,权限高到 Administrator 都删不掉,估计因为挂了 IsDrv120.sys 这个系统驱动;
装好别以为完事了,想进游戏就得装同样恶心的 StarForce (以下简称 SF) 用来防拷,并添加名为 Chinese Paladin 4 CN Drivers Auto Removal 的服务。这是明的,暗里创建诸如 pr2ach4f.sys 这种随机文件名,有两个,跟 IS 一样也是系统驱动 (驱动级木马啊- -),哥俩真是谁也没客气。
顺便说一下卸载。卸载时如果提示 1603 错误,那是 IS 数据乱了。只有删除注册表的 E3990D6F-F6CE-4417-BAFA-F2C60BC3576F 才能重装仙四,不然始终是卸载向导。另外,卸载和安装完成后一样,有个 msiexec.exe 赖在进程里。
卸完了,重启,再装一次,装完跑 PAL4.exe,由于卸载过,SF 又要求安装防拷系统,但这次装好没让重启,说明 SF 的驱动还在,可见 SF 不会随仙四卸载干净。不过大家都骂 SF 在仙四的防拷狂读盘,但好像忽视了这套 IS 的变态程度几乎不亚于 SF…… 所以总的来说,破解达人还是整一套重新封装版吧,单个的补丁很没意思,要做就干脆把安装程序换了,SF 部份索性也删掉,貌似这才是最佳方案。