*本文作者：吃荤的驴子，本文属FreeBuf原创奖励计划，未经许可禁止转载前言有江湖的地方就有纷争，同样有游戏的地方也就有外挂。对于传奇（传奇私服）这款在国内运营了接近10年的老牌端游，大家一定不会感到陌生。由于运营时间长，受众广，传奇相关的外挂私服也比比皆是。为了能够在众多的外挂私服中，获得广大的用户群，从而获得利益，有些恶意软件作者，就将目标瞄准到外挂私服上，下面就来详细介绍这类“借鸡生蛋”的恶意软件。1、恶意软件信息该恶意软件通过二次打包其他第三方外挂登录器，并携带自身恶意模块，生成图标同原外挂登陆器一致的恶意程序。当该恶意软件运行的时候，会释放并启动一个名为“Reality.log”的程序，其实这个文件才是真正的外挂登陆器，同时也会释放运行恶意模块，运行效果如下图所示。通过这种借鸡生蛋的方式，恶意软件作者不需要自己去开发维护外挂登陆器，直接借用第三方程序的用户来发展自己的肉鸡获取利益。该类恶意程序最早出现在2015年10月，至今共发现其相关的恶意打包程序约160个，期间该类恶意程序一直持续更新，均伪装成传奇外挂登陆器，包括但不限于将夜传奇辅助，火云辅助，创界辅助，风华辅助，天堂辅助，契约辅助，盘龙登陆器，咸鱼DOF登录器，魔剑传奇登录器，小狐狸登录器，小三传奇登陆器，娱乐传奇登录器，昊天登陆器等。其主要功能演变如下图所示。 2、背景信息该类恶意软件主要是通过恶意引流推广和DDOS攻击来获得利益。通过技术手段恶意锁定用户的浏览器主页为自己的导航推广，当“肉鸡”积累到一定程度的时候，每天都会产生比较可观的利益。同时通过篡改hosts文件，劫持竞争对手的私服网址，引流到自己的网站，将竞争对手的用户转化为自己的用户。在外挂私服这种不受法律的黑色灰色产业中，DDOS是很常见的。从业者经常利用“肉鸡”对竞争对手进行DDOS攻击，使竞争对手的服务器不能正常工作。对于游戏提供商来说，这几乎是致命的，一旦服务器遭受攻击宕机，很容易就会导致用户的大量流失。甚至有专门的网络敲诈者进行“黑吃黑”，通过恶意攻击私服服务器，敲诈私服从业者提供高额的“保护费”。3、基本流程下面以这款名为“盘龙登陆器”为例，分析该恶意软件的基本流程，如下图所示。该私服登陆器运行之后，在释放运行真正的登陆器Reality.log的同时，会释放Intel类模块和Winnet类模块，Intel类模块主要负责主页锁定，反调试检测以及下载DDOS模块，Winnet类模块主要负责LSP代理劫持，用于劫持Reality.log以及Reality.log的子进程的网络。4、详细分析该类恶意外挂登陆器主要分为三个恶意模块，分别是Intel类主页锁定模块，Packxx类DDOS模块以及Winnet类的LSP代理模块。下面分别介绍各个模块的具体功能行为。4.1Intel类主页锁定模块Intel类模块主要分为应用层Intel.exe以及驱动层Intel.sys两部分，其中驱动部分功能的正常运行需要应用层初始化数据来进行配合，如果单独运行驱动，将直接导致蓝屏，这也在一定程度上增加了分析的难度，值得一说的是，该恶意程序驱动层与应用层的通行采用的并非是常见的DeviceIoControl模型，而是采用的MiniFilter的通信方式。下面详细介绍它的主要功能。4.1.1 浏览器主页锁定主页的锁定是需要应用层和驱动层共同协作，这里采用了一种比较常见的“偷梁换柱”的方式。驱动层通过进程创建回调函数，得知如果启动的进程是浏览器进程，则会结束该进程，同时将浏览器启动的信息通过写文件的方式通知应用层，应用层获得浏览器的启动信息后，将需要锁定的主页以参数的方式跟在浏览器路径后面，然后打开该浏览器进程，正是通过这种方式来达到对浏览器主页的锁定。其相关实现如下图所示。4.1.2 Downloader功能应用层运行之后会开启一个线程，从网络上下载并运行Packxx类的DDOS模块。4.1.3反调试保护模块该恶意软件的反调试保护功能主要是在驱动层实现，主要包括以下几个方面。A）通过MiniFilter保护自身相关模块，禁止其他程序访问。B） 通过MiniFilter检测调试工具，包括OllyDbg，Pchunter，360tcpview，netstat等调试工具，一旦驱动成功运行，这些工具都不能获得正常的运行。C）通过注册表回调例程保护相关注册表项，禁止其他程序访问。D）通过对象注册回调函数保护自身进程不被结束。4.2 Packxx类DDOS模块Intel.exe从域名上下载的3个恶意模块，分别是Pack11.exe，Pack22.exe以及Pack33.exe，其中Pack11.exe和Pack22.exe均为DDOS模块，除了控制主机的域名不一样，其他功能一致，Pack33.exe为Hosts文件劫持模块，其具体功能如下。4.2.1 伪造系统进程伪造自身为svchost或则 dwm等服务进程，同时释放恶意模块伪装成spoolsv，wdm进程，确保DDOS模块能够获得执行。4.2.2 通过云端控制DDOS操作连接远程控制主机(dd.dresou.net，CC.345传奇.COM)，获取DDOS控制命令，执行相关的DDOS操作。4.2.3劫持hosts文件篡改hosts文件，劫持其他DNS私服的域名，使其访问自身的恶意网址。4.3 Winnet类的LSP代理模块Winnet类代理模块主要包括Winnet.exe，Winnet.dll以及LSP.dll三部分，其中Winnet.exe是代理服务器的主进程，主要负责中转网络数据，Winnet.dll主要是负责安装LSP服务以及初始化进程间通行的共享内存，常驻在Winnet.exe进程中，LSP.dll是网络劫持模块，被目标进程加载，劫持网络到Winnet.exe进程中。下面详细介绍4.3.1 安装LSP服务恶意程序将需要劫持的进程的Pid通过命令行的方式传递给Winnet.exe，Winnet.exe加载Winnet.dll，并调用其InitInstallLsp函数进行LSP服务的安装。4.3.2 启动端口监听随机监听本地的一个端口，并创建一块进程间共享内存，将监听端口存放在其中。4.3.3 存放代理服务器信息解析代理服务器信息，并将信息以及需要劫持的进程信息存放到共享内存中。4.3.4 处理劫持的网络数据从本地监听端口获得满足条件的网络连接，为每个连接开启一个线程处理劫持的网络数据。4.3.5 劫持目标网络数据LSP.dll根据共享内存中的信息，判断宿主进程是否为目标进程或则目标进程的子进程，如果是就进行网络劫持，将网络连接重定向到Winnet.exe。5、结束语有需求就有市场，游戏外挂和私服登陆器自有其存在的道理，我们在追求游戏快乐的同时，如需使用这类软件，请随时保持警惕。使用各大安全厂商的安全软件进行扫描检测，降低中招的可能性，如果在使用过程中，发现异常行为，请及时联系安全厂商，请求协助查杀，减少损失。*本文作者：吃荤的驴子，本文属FreeBuf原创奖励计划，未经许可禁止转载

热血传奇公益服

 2019年春节套在今天上午更新！春节隐藏称号完爆所有，你还在纠结称号和买不买春节套吗！！来看小编数据帝分析首先今年的春节没有梦幻克隆套！春节隐藏称号完爆以往所有称号！！

185星王传奇

商人批量收，平民可随时捡漏

3D版毒奶粉手游韩服上线了！当看到TapTap上抢眼的大图，小编激动得差点把键盘砸了。自从Nexon旗下子公司Neople宣布研发传奇手游，玩家就超级期待在能够移动平台重温端游时期的掉线城与虚弱勇士。可惜无论是韩国首发的这款3D版手游还是腾讯代理的2D版《传奇移动版》，都一直停滞在“即将发布”和“一测二测三测”的消息中。真·累觉不爱啊。虽然最受瞩目的《传奇移动版》仍然傲娇地拒绝与广大网友见面，但是好在咱们还能翻个墙沾点《传奇：魂》的光不是吗？（小贴士：先开飞行模式进入游戏，弹出提示框后连接网络，再连VPN，建议选择韩国、日本、新加坡节点，下载更新后以游客模式登录即可体验~）你可以看到，3D版《传奇：魂》无论是人物造型、CG效果还是场景构图，都很符合韩国手游一贯的高质量水准。游戏在还原端游玩法和追求创新方面也算是费了点苦心——

华为手机系统�台电脑可以开10几个号，20几个-30几个角色。外挂控制角色完成外挂设置指定任务、来获取 可以交易的虚拟机道具,如：装备，金币，强化道具，材料等。 把这些道具交易到一个 仓库号里，在一些游戏交易网站进行销售。把道具换成RMB，国内游戏被打金工作室搞到基本什么都要绑定。打金以：韩国，日本欧美等国家的游戏为主。国外的游戏运营商，服务标准以玩家的体验感受，自由度为主。大多的虚拟道具都是可以交易的。 2 ：代练工作室分为：手动代练和外挂代练代替别人完成游戏的任务，等级，生活技能，和强化装备等行为。国内代练以，如：英雄联盟，炉石炼狱，炫舞，飞车等，。国外代练以：RS，魔兽世界等进行代练。3： 偷盗工作室常见的手法有：1：在游戏内世界频道喊话：XXXX官方搞XXX活动登录领取。2：登录某某网站领取XX道具或者金币3：以好友模式跟你了解几天后，让你减少防备。以XX理由找你要账号和密码进行盗取。4：直接找BUG和挂木马以黑客手段进行盗窃盗窃得手后，通过虚拟交易网站，以略便宜的价格销售给其他玩家。3：网游工作室什么样按照规模判断：小型50台电脑之内，这类比较多人群过于庞大。中型规模:50-200台，全是外挂自动操作大型规模:200台以上几千台几万台全是外挂自动操作4: 罉一个安全模式这个个功能，而且功能非常的实用强大，在对与用户的手机病毒查杀，手机恶意软件排除方面都杠杠的。华为手机安全模式工作原理：在不加载第三方自启动程序的情况下启动手机，使手机运行在系统最小模式，可以方便地检测手机系统的一些第三方软件引起的错误安全模式特点注意：导致这种情况的原因是开机是由于带了壳子或者皮套触发了组合按键进入安全模式。当手机进水或者摔坏也有可能进入安全模式。如何进入华为手机安全模式：1、首先在待机状态下按住关机键。跳出下图关机重启菜单。2、再次按住关机图标3秒钟左右。你就可以看到安全模式的提醒。点击确定即可进入安全模式 进入后出现内容：a、无第三方程序自启动，360，安全管家什么的都不能自启动b、手机左下角显示“安全模式”四个字c、当手机因为第三方软件或者某些原因不能正常启动，这个方法是个非常好的方法d、安全模式不会损坏任何软件和个人数据，重启后系统和进入前没有什么区别如何退出华为手机安全模式，可以尝试以下几种方式进行退出：1、重启手机即可，记住重启。2、如果重启无效可尝试恢复出厂设置。3、恢复出厂设置任然无法退出安全模式，多由于其他方面问题，如系统崩溃，手机硬件故障。建议售后维修。本文转自：华为手机安全模式可以为我们的手机提供更多保护，防止第三方软件的病毒入侵。手机新系统不用设置？越用越快，游戏闪退？关注微信公众号：智乐方（smart4fun），人工在线1对1免费解答，3分钟解决手机问题。最新手机实用技巧分享，让你的手机更好用。