OD逆向分析2014QQ游戏大厅多开体

本来我是很不情愿再写一篇OD逆向分析的,因为此时写这篇文章会很累,时间多,字也打得多，

而且很可能会在一段时间后,游戏更新了,未来本文可能就会失效.但还是写了,为了独立团论坛的学员大家,也给前面的做个佐证与一点补充. 先创建一个QQ游戏大厅的进程,

然后去创建第二个QQ游戏大厅进程时,会创建失败,并且第一个进程的大厅窗口会被激活置为前台,另外任务栏下的QQ游戏按钮也会被闪烁几下.

会闪烁可是好事啊,可以给我们找关键的禁止双开的CALL提供很多的帮助.

下面我们在开着第一个QQ游戏大厅的情况下,用OD载入第二个QQ游戏大厅程序,然后下断点在以下两个会终止进程的API上 ExitProcess

TerminateProcess API断点设置如下：

在OD里按F9运行,会中断在 ExitProcess 上. 见堆栈窗口情况:

0012FEDC 785421CC ?Tx /CALL 到 ExitProcess 来自 MSVCR90.785421C6

0012FEE0 00000000 .... \\ExitCode = 0

看堆栈提示,是 MSVCRT 领空的 785421C6处指令 MSVCRT 是VC++的运行时库,与易语言的核心库一样的概念.

另外就是易语言与易核心库是用VC++编的,所以我们编写的易程序在运行时,也会加载这个 MSVCRT 运行库的

现在我们直接复制完堆栈数据窗口的所有返回信息：

0012FEDC 785421CC ?Tx /CALL 到 ExitProcess 来自 MSVCR90.785421C6 0012FEE0 00000000 .... \\ExitCode = 0 0012FEE4 /0012FF28 (