*本文作者：吃荤的驴子，本文属FreeBuf原创奖励计划，未经许可禁止转载前言有江湖的地方就有纷争，同样有游戏的地方也就有外挂。对于传奇（传奇私服）这款在国内运营了接近10年的老牌端游，大家一定不会感到陌生。由于运营时间长，受众广，传奇相关的外挂私服也比比皆是。为了能够在众多的外挂私服中，获得广大的用户群，从而获得利益，有些恶意软件作者，就将目标瞄准到外挂私服上，下面就来详细介绍这类“借鸡生蛋”的恶意软件。1、恶意软件信息该恶意软件通过二次打包其他第三方外挂登录器，并携带自身恶意模块，生成图标同原外挂登陆器一致的恶意程序。当该恶意软件运行的时候，会释放并启动一个名为“Reality.log”的程序，其实这个文件才是真正的外挂登陆器，同时也会释放运行恶意模块，运行效果如下图所示。通过这种借鸡生蛋的方式，恶意软件作者不需要自己去开发维护外挂登陆器，直接借用第三方程序的用户来发展自己的肉鸡获取利益。该类恶意程序最早出现在2015年10月，至今共发现其相关的恶意打包程序约160个，期间该类恶意程序一直持续更新，均伪装成传奇外挂登陆器，包括但不限于将夜传奇辅助，火云辅助，创界辅助，风华辅助，天堂辅助，契约辅助，盘龙登陆器，咸鱼DOF登录器，魔剑传奇登录器，小狐狸登录器，小三传奇登陆器，娱乐传奇登录器，昊天登陆器等。其主要功能演变如下图所示。 2、背景信息该类恶意软件主要是通过恶意引流推广和DDOS攻击来获得利益。通过技术手段恶意锁定用户的浏览器主页为自己的导航推广，当“肉鸡”积累到一定程度的时候，每天都会产生比较可观的利益。同时通过篡改hosts文件，劫持竞争对手的私服网址，引流到自己的网站，将竞争对手的用户转化为自己的用户。在外挂私服这种不受法律的黑色灰色产业中，DDOS是很常见的。从业者经常利用“肉鸡”对竞争对手进行DDOS攻击，使竞争对手的服务器不能正常工作。对于游戏提供商来说，这几乎是致命的，一旦服务器遭受攻击宕机，很容易就会导致用户的大量流失。甚至有专门的网络敲诈者进行“黑吃黑”，通过恶意攻击私服服务器，敲诈私服从业者提供高额的“保护费”。3、基本流程下面以这款名为“盘龙登陆器”为例，分析该恶意软件的基本流程，如下图所示。该私服登陆器运行之后，在释放运行真正的登陆器Reality.log的同时，会释放Intel类模块和Winnet类模块，Intel类模块主要负责主页锁定，反调试检测以及下载DDOS模块，Winnet类模块主要负责LSP代理劫持，用于劫持Reality.log以及Reality.log的子进程的网络。4、详细分析该类恶意外挂登陆器主要分为三个恶意模块，分别是Intel类主页锁定模块，Packxx类DDOS模块以及Winnet类的LSP代理模块。下面分别介绍各个模块的具体功能行为。4.1Intel类主页锁定模块Intel类模块主要分为应用层Intel.exe以及驱动层Intel.sys两部分，其中驱动部分功能的正常运行需要应用层初始化数据来进行配合，如果单独运行驱动，将直接导致蓝屏，这也在一定程度上增加了分析的难度，值得一说的是，该恶意程序驱动层与应用层的通行采用的并非是常见的DeviceIoControl模型，而是采用的MiniFilter的通信方式。下面详细介绍它的主要功能。4.1.1 浏览器主页锁定主页的锁定是需要应用层和驱动层共同协作，这里采用了一种比较常见的“偷梁换柱”的方式。驱动层通过进程创建回调函数，得知如果启动的进程是浏览器进程，则会结束该进程，同时将浏览器启动的信息通过写文件的方式通知应用层，应用层获得浏览器的启动信息后，将需要锁定的主页以参数的方式跟在浏览器路径后面，然后打开该浏览器进程，正是通过这种方式来达到对浏览器主页的锁定。其相关实现如下图所示。4.1.2 Downloader功能应用层运行之后会开启一个线程，从网络上下载并运行Packxx类的DDOS模块。4.1.3反调试保护模块该恶意软件的反调试保护功能主要是在驱动层实现，主要包括以下几个方面。A）通过MiniFilter保护自身相关模块，禁止其他程序访问。B） 通过MiniFilter检测调试工具，包括OllyDbg，Pchunter，360tcpview，netstat等调试工具，一旦驱动成功运行，这些工具都不能获得正常的运行。C）通过注册表回调例程保护相关注册表项，禁止其他程序访问。D）通过对象注册回调函数保护自身进程不被结束。4.2 Packxx类DDOS模块Intel.exe从域名上下载的3个恶意模块，分别是Pack11.exe，Pack22.exe以及Pack33.exe，其中Pack11.exe和Pack22.exe均为DDOS模块，除了控制主机的域名不一样，其他功能一致，Pack33.exe为Hosts文件劫持模块，其具体功能如下。4.2.1 伪造系统进程伪造自身为svchost或则 dwm等服务进程，同时释放恶意模块伪装成spoolsv，wdm进程，确保DDOS模块能够获得执行。4.2.2 通过云端控制DDOS操作连接远程控制主机(dd.dresou.net，CC.345传奇.COM)，获取DDOS控制命令，执行相关的DDOS操作。4.2.3劫持hosts文件篡改hosts文件，劫持其他DNS私服的域名，使其访问自身的恶意网址。4.3 Winnet类的LSP代理模块Winnet类代理模块主要包括Winnet.exe，Winnet.dll以及LSP.dll三部分，其中Winnet.exe是代理服务器的主进程，主要负责中转网络数据，Winnet.dll主要是负责安装LSP服务以及初始化进程间通行的共享内存，常驻在Winnet.exe进程中，LSP.dll是网络劫持模块，被目标进程加载，劫持网络到Winnet.exe进程中。下面详细介绍4.3.1 安装LSP服务恶意程序将需要劫持的进程的Pid通过命令行的方式传递给Winnet.exe，Winnet.exe加载Winnet.dll，并调用其InitInstallLsp函数进行LSP服务的安装。4.3.2 启动端口监听随机监听本地的一个端口，并创建一块进程间共享内存，将监听端口存放在其中。4.3.3 存放代理服务器信息解析代理服务器信息，并将信息以及需要劫持的进程信息存放到共享内存中。4.3.4 处理劫持的网络数据从本地监听端口获得满足条件的网络连接，为每个连接开启一个线程处理劫持的网络数据。4.3.5 劫持目标网络数据LSP.dll根据共享内存中的信息，判断宿主进程是否为目标进程或则目标进程的子进程，如果是就进行网络劫持，将网络连接重定向到Winnet.exe。5、结束语有需求就有市场，游戏外挂和私服登陆器自有其存在的道理，我们在追求游戏快乐的同时，如需使用这类软件，请随时保持警惕。使用各大安全厂商的安全软件进行扫描检测，降低中招的可能性，如果在使用过程中，发现异常行为，请及时联系安全厂商，请求协助查杀，减少损失。*本文作者：吃荤的驴子，本文属FreeBuf原创奖励计划，未经许可禁止转载

传奇私服怎么搭建

*本文作者：吃荤的驴子，本文属FreeBuf原创奖励计划，未经许可禁止转载前言有江湖的地方就有纷争，同样有游戏的地方也就有外挂。对于传奇（传奇私服）这款在国内运营了接近10年的老牌端游，大家一定不会感到陌生。由于运营时间长，受众广，传奇相关的外挂私服也比比皆是。为了能够在众多的外挂私服中，获得广大的用户群，从而获得利益，有些恶意软件作者，就将目标瞄准到外挂私服上，下面就来详细介绍这类“借鸡生蛋”的恶意软件。1、恶意软件信息该恶意软件通过二次打包其他第三方外挂登录器，并携带自身恶意模块，生成图标同原外挂登陆器一致的恶意程序。当该恶意软件运行的时候，会释放并启动一个名为“Reality.log”的程序，其实这个文件才是真正的外挂登陆器，同时也会释放运行恶意模块，运行效果如下图所示。通过这种借鸡生蛋的方式，恶意软件作者不需要自己去开发维护外挂登陆器，直接借用第三方程序的用户来发展自己的肉鸡获取利益。该类恶意程序最早出现在2015年10月，至今共发现其相关的恶意打包程序约160个，期间该类恶意程序一直持续更新，均伪装成传奇外挂登陆器，包括但不限于将夜传奇辅助，火云辅助，创界辅助，风华辅助，天堂辅助，契约辅助，盘龙登陆器，咸鱼DOF登录器，魔剑传奇登录器，小狐狸登录器，小三传奇登陆器，娱乐传奇登录器，昊天登陆器等。其主要功能演变如下图所示。 2、背景信息该类恶意软件主要是通过恶意引流推广和DDOS攻击来获得利益。通过技术手段恶意锁定用户的浏览器主页为自己的导航推广，当“肉鸡”积累到一定程度的时候，每天都会产生比较可观的利益。同时通过篡改hosts文件，劫持竞争对手的私服网址，引流到自己的网站，将竞争对手的用户转化为自己的用户。在外挂私服这种不受法律的黑色灰色产业中，DDOS是很常见的。从业者经常利用“肉鸡”对竞争对手进行DDOS攻击，使竞争对手的服务器不能正常工作。对于游戏提供商来说，这几乎是致命的，一旦服务器遭受攻击宕机，很容易就会导致用户的大量流失。甚至有专门的网络敲诈者进行“黑吃黑”，通过恶意攻击私服服务器，敲诈私服从业者提供高额的“保护费”。3、基本流程下面以这款名为“盘龙登陆器”为例，分析该恶意软件的基本流程，如下图所示。该私服登陆器运行之后，在释放运行真正的登陆器Reality.log的同时，会释放Intel类模块和Winnet类模块，Intel类模块主要负责主页锁定，反调试检测以及下载DDOS模块，Winnet类模块主要负责LSP代理劫持，用于劫持Reality.log以及Reality.log的子进程的网络。4、详细分析该类恶意外挂登陆器主要分为三个恶意模块，分别是Intel类主页锁定模块，Packxx类DDOS模块以及Winnet类的LSP代理模块。下面分别介绍各个模块的具体功能行为。4.1Intel类主页锁定模块Intel类模块主要分为应用层Intel.exe以及驱动层Intel.sys两部分，其中驱动部分功能的正常运行需要应用层初始化数据来进行配合，如果单独运行驱动，将直接导致蓝屏，这也在一定程度上增加了分析的难度，值得一说的是，该恶意程序驱动层与应用层的通行采用的并非是常见的DeviceIoControl模型，而是采用的MiniFilter的通信方式。下面详细介绍它的主要功能。4.1.1 浏览器主页锁定主页的锁定是需要应用层和驱动层共同协作，这里采用了一种比较常见的“偷梁换柱”的方式。驱动层通过进程创建回调函数，得知如果启动的进程是浏览器进程，则会结束该进程，同时将浏览器启动的信息通过写文件的方式通知应用层，应用层获得浏览器的启动信息后，将需要锁定的主页以参数的方式跟在浏览器路径后面，然后打开该浏览器进程，正是通过这种方式来达到对浏览器主页的锁定。其相关实现如下图所示。4.1.2 Downloader功能应用层运行之后会开启一个线程，从网络上下载并运行Packxx类的DDOS模块。4.1.3反调试保护模块该恶意软件的反调试保护功能主要是在驱动层实现，主要包括以下几个方面。A）通过MiniFilter保护自身相关模块，禁止其他程序访问。B） 通过MiniFilter检测调试工具，包括OllyDbg，Pchunter，360tcpview，netstat等调试工具，一旦驱动成功运行，这些工具都不能获得正常的运行。C）通过注册表回调例程保护相关注册表项，禁止其他程序访问。D）通过对象注册回调函数保护自身进程不被结束。4.2 Packxx类DDOS模块Intel.exe从域名上下载的3个恶意模块，分别是Pack11.exe，Pack22.exe以及Pack33.exe，其中Pack11.exe和Pack22.exe均为DDOS模块，除了控制主机的域名不一样，其他功能一致，Pack33.exe为Hosts文件劫持模块，其具体功能如下。4.2.1 伪造系统进程伪造自身为svchost或则 dwm等服务进程，同时释放恶意模块伪装成spoolsv，wdm进程，确保DDOS模块能够获得执行。4.2.2 通过云端控制DDOS操作连接远程控制主机(dd.dresou.net，CC.345传奇.COM)，获取DDOS控制命令，执行相关的DDOS操作。4.2.3劫持hosts文件篡改hosts文件，劫持其他DNS私服的域名，使其访问自身的恶意网址。4.3 Winnet类的LSP代理模块Winnet类代理模块主要包括Winnet.exe，Winnet.dll以及LSP.dll三部分，其中Winnet.exe是代理服务器的主进程，主要负责中转网络数据，Winnet.dll主要是负责安装LSP服务以及初始化进程间通行的共享内存，常驻在Winnet.exe进程中，LSP.dll是网络劫持模块，被目标进程加载，劫持网络到Winnet.exe进程中。下面详细介绍4.3.1 安装LSP服务恶意程序将需要劫持的进程的Pid通过命令行的方式传递给Winnet.exe，Winnet.exe加载Winnet.dll，并调用其InitInstallLsp函数进行LSP服务的安装。4.3.2 启动端口监听随机监听本地的一个端口，并创建一块进程间共享内存，将监听端口存放在其中。4.3.3 存放代理服务器信息解析代理服务器信息，并将信息以及需要劫持的进程信息存放到共享内存中。

传奇sif

传奇外传职业黑暗武士即将自觉，很多玩家不清楚黑暗武士自觉技能如何，以及什么时候，下面牛游戏小编就为大家带来传奇黑暗武士自我觉醒技能介绍，一起来看看吧！黑暗武士自我觉醒增加自觉技能图标技能名等级技能说明 时空阻断 85 聚集时间之力在瞬间切割出多重时间线形成多重次元斩击,回到原地后引发时空爆炸,被击中的目标在这瞬间内无法行动。雾爆 80 凝聚暗影力量形成剑刃攻击前方造成大爆炸。时间静止 50 将时空之力过载以停止时间、并在必要的时候再次开始时间流动的黑暗武士专用被动技能,习得技能后,在连段时被攻击或移动时,连段不会被重置(无限待机时间)当使用连技技能栏的技能时每一个技能可以囤积1点连击段数,此外,使用扩张技能栏的技能也可以柔化连技技能栏,并消耗连击段数以享受连段加成。暗影狂龙斩 70 突进一定距离挥剑浮空敌人后回头一剑聚怪发动暗影爆炸给予周围伤害。暗影波动球 60 将暗影之力注入剑内向前方攻击引起强力爆炸,给予多段攻击并降低被击中对象的防御力。时空幻剑 50 黑暗之力化为幻剑对周围多次斩击后从空中落下给予强力爆炸攻击。时空幻境 75 将时空之力过载以停止时间、并在必要的时候再次开始时间流动的黑暗武士专用被动技能,当使用连技技能栏的技能时可以囤积连击段数,此外,使用扩张技能栏的技能也可以柔化连技技能栏,并消耗连击段数以享受连段加成。一觉被动60级技能70级技能75级技能80级技能二觉主动技能二觉被动技能小吸技能改版以上就是牛游戏小编为大家带来传奇黑暗武士自觉技能介绍，更多精彩内容请关注牛游戏网！

转眼传奇已经风风雨雨的陪我们走过了几个年头，不能否认这个游戏深深的影响了我们～虽然腾讯官方还没有放出传奇手游电脑版公测的时间，但并不妨碍下我们回忆一下曾经的传奇，为即将到来的传奇手游电脑版做准备。下面小编就来盘点一下个人心目中那些让我们梦寐以求的神器！Top10：流光星陨刀就是60版本大名鼎鼎的流光星陨刀～超长的模型，土豪的象征!我记得当时刚出来的时候价值将近2000人民币～是最贵的道具之一。从属性来看在当时也是非常厉害的～无论PK，刷图都是当时鬼剑士的顶级神器!Top9: 骨戒没错。从60版本就开始传闻漫游有了骨戒才能转职为枪神，剑魂有了骨戒才能转为剑圣。当初游戏币比例1比17的时候，这货已经卖到1亿左右!楼主狠心咬牙还是买了一个给我的剑魂，破招物理攻击力加百分之50不是盖的。Top8: 无影剑 艾雷诺传说中能唤醒植物人的神器!楼主没有，固将它排在第八位～百分之30的白字附加伤害，从远古时期就是红，黑，瞎三狗的神器，不过此乃史诗，可遇不可求。Top7: 青龙滕海臂铠50级的SS臂铠，当时看到视频以为是开挂了，整个屏幕都跟着晃动，霸气非凡，现在已经绝版~不过此物爆率实在是低... 楼主之见过2个毒王有~没见过的同学可以视频看看次武器的效果~Top6: 泰拉石系列不得不承认，机械牛当初真的很难刷。不过还好国服第一代王牌飞行员技术过硬，泰拉石系列也成为许多人的最终武器。实为经典!Top5: 灵魂猎者 其实把灵魂猎者排在前3一点都不为过，但是这件装备相信大家已经看烦了，视觉疲劳了。所以固排在第五。不过，它的强大是毋庸置疑的，相当于直接提升了百分之20的伤害，所有职业都适用。而且不与任何装备冲突，除了入手相当耗时间，真找不出其它弱点。Top4: 手搓光左轮~技能快捷栏每空出一个位置，攻击时增加百分之5的伤害。如果全部空完那就是百分之60，是当下版本最好的武器了，不过此武器绝对不适用于手残党。楼主就从来没幻想过要爆这类武器，太费脑子了！！Top3： 各职业75史诗系列不知道为什么，75史诗略晚出于80史诗，而且属性非常的逆天，可谓各职业的毕业武器了，这里我就不一一介绍了，大家比较熟悉的列如大无影，姨妈刀，姨妈光剑，幸运7等等!Top2:细雪之舞呵呵，不要感到奇怪。这把45级稀有品质的太刀，相信传奇端游的老玩家们无人不知，无人不晓。楼主把它排在第二位，是因为楼主在当时刚拥有它的时候兴奋了好几天，现在在也找不回当时的快乐了! 单看属性，冰属性攻击，攻击时百分之2的几率使敌人进入冰冻状态，哈哈哈哈，不用我说大家也懂。PK神器啊，狂战拿着笑哈哈 人品好的打2下冻一下，真乃PK神器是也，入手难度一般，毕竟当初300~400万的价格也是一笔不小的数字了。Top1 :光炎剑—烈日裁决每当想到这把武器，小编心中总是慷慨激昂，激动万分。在这把武器面前，前面一切都显得那么苍白，它有着一个非常霸气的名字：光炎剑—烈日裁决！！没错，就连60版本的时候都非常稀有，现在应该看不到了。出处是深渊非常困难难度指定怪物—一个拿着光剑的瞎子- -光炎里克特。 光炎剑的属性是普通攻击时，发射光炎攻击敌人，楼主试过，普通攻击跟里鬼都会发射，自动跟踪敌人，而且你的攻击速度越快，它发射的越多，楼主当年拿着它去PK场的时候一度被人指责为挂B~ (别人爆的，我没那么好命。楼主只是借来玩玩)直到现在我仍旧认为是最逆天的武器，不过早已绝版~没见过的可以去看看视频。传奇移动版电脑版即将上线靠谱助手：http://www.kpzs.com/game/传奇sykpgw.html原文地址：http://www.kpzs.com/news/11031.html，转载请注明！

四开进图游戏直播行业泛滥的今天，传奇主播圈除了旭旭宝宝之类的，还有商人主播以及最近盛行的传奇搬砖多开教学主播。本质上第一批四开主播，令很多搬砖党产生眼前一亮的感觉，很多人逐渐打算投入所谓的四开八开格蓝迪王者。单调的循环刷图，收益上确实高于一般人，但是今天腾讯官方开始了一号的打击工作室，一大批玩家开始被疯狂制裁，并且有人被永久封号，无限制裁五天。多开很多工作室玩家开始分析，是不是同步器问题或者ip地址，亦或者是多开组队问题。其实你们都搞错了，传奇官方认识到打金币多开玩家急剧增多，主要原因还是某些直播平台的主播。譬如熊猫八开教父恶纶，小编得到一些玩家的爆料，并且打入了这位自称多开不制裁收费拜师的群。先是进群后，开始放些多开视频，宣扬自己的多开起号无封号情况。了解到问题，意识到似乎不对，几位认识的勇士直言群里一堆托，骗部分小白拜师收徒。 翻牌奖励这次的打击多开搬砖，实则是部分直播平台多开主播，大肆宣传所谓的搬砖多开。甚至收徒拜师想签约。据消息，传奇辅助工作室完全没有受到波及，主要还是组队的问题。什么收徒防制裁方法，完全是可笑之谈，你能多开起号还是因为腾讯检测力度不够，针对遍地开花的多开搬砖主播。打击力度逐渐在加大，某些搬砖党开始自命不凡，觉得为何官方打击什么手动搬砖党。制裁情况讲句真心话，你见过那些辅助工作室，会不会去直播宣传。本身这种违反传奇游戏协议的事情，已经是无法放到台面上，甚至说收徒拜师。根据到下午之前，这位自称多开防制裁教父恶纶，还在卖着防制裁秘籍，昨天刚刚188拜师费的秘籍全部作废。卖设备，甚至忽悠小白的钱，似乎此位主播还曾经卖号骗钱，打着主播的名号打算靠制裁文本，赚着慢慢退出传奇的多开党最后一笔钱。寂静城封号