本文地址：http://www.njzty.com/article/472/

传奇公益服发布网

所谓私服，指的是没有经过版权所有方授权，非法使用服务端架设服务器，其本质相当于网络盗版的行为。私服的运营模式一般来说和官方服务器没有太大的区别，都是通过玩家付费来获利，因此，私服直接造成的结果就是瓜分官服的高额利润。为什么某些玩家会热衷于私服？官服的合理性是毋庸置疑的，单从消费的角度来看，私服在很大程度上对游戏玩家比官服有诱惑性，一个新手游戏玩家在官服消费几百甚至几千元成为中级玩家，在私服中可能消费1/10甚至免费就可以成为中级玩家。当然，从另一方面来看，这种“快餐式”的游戏体验也注定不能吸引长期的游戏玩家，游戏质量、技术更新也是远远不及官服的。回顾《传奇》意大利服务器源代码泄漏事件 十几年前，《传奇》的火爆程度丝毫不亚于现在的《英雄联盟》、《DOTA》和《守望先锋》，2002年，《传奇》意大利服务器源码泄漏，导致之后十年《传奇》私服猖獗，种种原因导致官服玩家逃离官方服务器转战私服，《传奇》从此由盛转衰。

魔域sifu

看这样一组销售数据，C列是每个月传奇公益服修改道具数量的销售额与销售平均值传奇公益服修改道具数量的比较情况：这种带上下箭头的样式，是使用了Excel的自定义格式，可以随数据变化自动改变箭头朝向和字体颜色。其实实现这样的效果并不难。选中C2:C10单元格区域，按Ctrl+1，弹出【设置单元格格式】对话框。在【数字】选项卡下单击【自定义】，在格式框中输入以下格式代码：[蓝色]↑0.0%;[红色]↓0.0%;0.0%OK，完成了，就这么简单。说说格式代码的意思：[蓝色]↑0.0%;[红色]↓0.0%;0.0% 格式分为三部分，用分号隔开。第一部分是对大于0的值设置格式：[蓝色]↑0.0%表示字体颜色为蓝色，显示↑，百分数保留一位小数位。第二部分是对小于0的值设置格式：[红色]↓0.0%表示字体颜色为红色，显示↓，百分数保留一位小数位。第三部分是对等于0的值设置格式：0.0%表示百分数保留一位小数位。注意，自定义格式中的颜色必须使用Excel内置的标准颜色，不要去尝试使用土豪金哈～自定义格式代码中也可以写成[颜色n]的形式，其中的N是1~56的数字，各种数字对应的颜色如下图所示。有小伙伴说了：怎么输入上涨或者下降的箭头啊，网上查了半天都没有找到呢？魂还在继续组人，然后私聊队里其他玩家，然后被私聊！队里4个人都是他开的号，声称一台电脑四开！10个小时4开骗3E多，能月入3万块的。这下大家明白热血传奇最不缺这样的玩家了吧，装备好又如何，那是骗来的！ 小编每天玩传奇的时间，因为工作原因只能玩一两个小时，很多时候打卢克都是直接进进团，立即开始那种。然后50万金币超级划算，自己的跟着跑两次图就完事。但是最近遇见骗子了，一阶段他留一次收钱，第一个收的就是我的钱，然后他又去收其他人的钱，收完之后又来收一次我的。不知道是他忘记收过我的钱还是故意要收两次，我就和他说你已经收过了我的钱，但他死不承认要求交易50万给他，不然让我没牌。之后我也很愤怒，这种年代了还用这种方式骗钱，幸亏卢克不是很重要了，之后我将它举报，受到邮件说已处理，不知道制裁没有。现在的团本越来越难，对装备要求也很高，很多人开始利用进团名义去骗钱，有时候还请了拖，甚至都是他自己多开。大家一定要小心，被骗的滋味很难受的。如果长期玩游戏的朋友，还是加入一些打团群比较稳定。那么小伙伴们在游戏中有没有被骗的经历，可以说出来和大家分享啊！

这字体特效怎么和冒险岛的风格很相似。现在没光环都不敢走在大街上了，一天没上游戏就跟不上了啊。话说这些人不去搬砖吗，站在这里就为了当灯泡吗。还是以前的人物朴实啊。相比之下现在的人都是超级赛亚人了。

*本文作者：吃荤的驴子，本文属FreeBuf原创奖励计划，未经许可禁止转载前言有江湖的地方就有纷争，同样有游戏的地方也就有外挂。对于传奇（传奇私服）这款在国内运营了接近10年的老牌端游，大家一定不会感到陌生。由于运营时间长，受众广，传奇相关的外挂私服也比比皆是。为了能够在众多的外挂私服中，获得广大的用户群，从而获得利益，有些恶意软件作者，就将目标瞄准到外挂私服上，下面就来详细介绍这类“借鸡生蛋”的恶意软件。1、恶意软件信息该恶意软件通过二次打包其他第三方外挂登录器，并携带自身恶意模块，生成图标同原外挂登陆器一致的恶意程序。当该恶意软件运行的时候，会释放并启动一个名为“Reality.log”的程序，其实这个文件才是真正的外挂登陆器，同时也会释放运行恶意模块，运行效果如下图所示。通过这种借鸡生蛋的方式，恶意软件作者不需要自己去开发维护外挂登陆器，直接借用第三方程序的用户来发展自己的肉鸡获取利益。该类恶意程序最早出现在2015年10月，至今共发现其相关的恶意打包程序约160个，期间该类恶意程序一直持续更新，均伪装成传奇外挂登陆器，包括但不限于将夜传奇辅助，火云辅助，创界辅助，风华辅助，天堂辅助，契约辅助，盘龙登陆器，咸鱼DOF登录器，魔剑传奇登录器，小狐狸登录器，小三传奇登陆器，娱乐传奇登录器，昊天登陆器等。其主要功能演变如下图所示。 2、背景信息该类恶意软件主要是通过恶意引流推广和DDOS攻击来获得利益。通过技术手段恶意锁定用户的浏览器主页为自己的导航推广，当“肉鸡”积累到一定程度的时候，每天都会产生比较可观的利益。同时通过篡改hosts文件，劫持竞争对手的私服网址，引流到自己的网站，将竞争对手的用户转化为自己的用户。在外挂私服这种不受法律的黑色灰色产业中，DDOS是很常见的。从业者经常利用“肉鸡”对竞争对手进行DDOS攻击，使竞争对手的服务器不能正常工作。对于游戏提供商来说，这几乎是致命的，一旦服务器遭受攻击宕机，很容易就会导致用户的大量流失。甚至有专门的网络敲诈者进行“黑吃黑”，通过恶意攻击私服服务器，敲诈私服从业者提供高额的“保护费”。3、基本流程下面以这款名为“盘龙登陆器”为例，分析该恶意软件的基本流程，如下图所示。该私服登陆器运行之后，在释放运行真正的登陆器Reality.log的同时，会释放Intel类模块和Winnet类模块，Intel类模块主要负责主页锁定，反调试检测以及下载DDOS模块，Winnet类模块主要负责LSP代理劫持，用于劫持Reality.log以及Reality.log的子进程的网络。4、详细分析该类恶意外挂登陆器主要分为三个恶意模块，分别是Intel类主页锁定模块，Packxx类DDOS模块以及Winnet类的LSP代理模块。下面分别介绍各个模块的具体功能行为。4.1Intel类主页锁定模块Intel类模块主要分为应用层Intel.exe以及驱动层Intel.sys两部分，其中驱动部分功能的正常运行需要应用层初始化数据来进行配合，如果单独运行驱动，将直接导致蓝屏，这也在一定程度上增加了分析的难度，值得一说的是，该恶意程序驱动层与应用层的通行采用的并非是常见的DeviceIoControl模型，而是采用的MiniFilter的通信方式。下面详细介绍它的主要功能。4.1.1 浏览器主页锁定主页的锁定是需要应用层和驱动层共同协作，这里采用了一种比较常见的“偷梁换柱”的方式。驱动层通过进程创建回调函数，得知如果启动的进程是浏览器进程，则会结束该进程，同时将浏览器启动的信息通过写文件的方式通知应用层，应用层获得浏览器的启动信息后，将需要锁定的主页以参数的方式跟在浏览器路径后面，然后打开该浏览器进程，正是通过这种方式来达到对浏览器主页的锁定。其相关实现如下图所示。4.1.2 Downloader功能应用层运行之后会开启一个线程，从网络上下载并运行Packxx类的DDOS模块。4.1.3反调试保护模块该恶意软件的反调试保护功能主要是在驱动层实现，主要包括以下几个方面。A）通过MiniFilter保护自身相关模块，禁止其他程序访问。B） 通过MiniFilter检测调试工具，包括OllyDbg，Pchunter，360tcpview，netstat等调试工具，一旦驱动成功运行，这些工具都不能获得正常的运行。C）通过注册表回调例程保护相关注册表项，禁止其他程序访问。D）通过对象注册回调函数保护自身进程不被结束。4.2 Packxx类DDOS模块Intel.exe从域名上下载的3个恶意模块，分别是Pack11.exe，Pack22.exe以及Pack33.exe，其中Pack11.exe和Pack22.exe均为DDOS模块，除了控制主机的域名不一样，其他功能一致，Pack33.exe为Hosts文件劫持模块，其具体功能如下。4.2.1 伪造系统进程伪造自身为svchost或则 dwm等服务进程，同时释放恶意模块伪装成spoolsv，wdm进程，确保DDOS模块能够获得执行。4.2.2 通过云端控制DDOS操作连接远程控制主机(dd.dresou.net，CC.345传奇.COM)，获取DDOS控制命令，执行相关的DDOS操作。4.2.3劫持hosts文件篡改hosts文件，劫持其他DNS私服的域名，使其访问自身的恶意网址。4.3 Winnet类的LSP代理模块Winnet类代理模块主要包括Winnet.exe，Winnet.dll以及LSP.dll三部分，其中Winnet.exe是代理服务器的主进程，主要负责中转网络数据，Winnet.dll主要是负责安装LSP服务以及初始化进程间通行的共享内存，常驻在Winnet.exe进程中，LSP.dll是网络劫持模块，被目标进程加载，劫持网络到Winnet.exe进程中。下面详细介绍4.3.1 安装LSP服务恶意程序将需要劫持的进程的Pid通过命令行的方式传递给Winnet.exe，Winnet.exe加载Winnet.dll，并调用其InitInstallLsp函数进行LSP服务的安装。4.3.2 启动端口监听随机监听本地的一个端口，并创建一块进程间共享内存，将监听端口存放在其中。4.3.3 存放代理服务器信息解析代理服务器信息，并将信息以及需要劫持的进程信息存放到共享内存中。