SimoneHackshield大概的流程
的有关信息介绍如下:
Hackshield的操作流程主要包括以下几个步骤:
首先,它会在HKCU注册表的Software\\AhnLab\\HShield项下创建或检查是否存在。如果存在,程序会继续执行。在此过程中,它会写入Ehsvc.dll的路径信息到默认键值,并将3032601h键值更新为packver。
接着,程序会尝试查询名为"log"的键值,但你可能发现你的注册表中并没有这个键。这个"log"键与全局变量的值有关,可能在某些情况下是程序运行的关键组成部分。
在后续操作中,程序会依据参数3进行判断。如果第9位被设置为10,那么一系列全局变量会被设置,这一步至关重要,且确保变量值为1。
然后,程序会检查是否传入了回调函数的地址以及主程序文件名的哈希值。如果满足这些条件,程序会进行一系列检查,例如核对当前运行的主程序文件名是否与初始一致。
如果第15位被置为1,这可能表示一个新的操作序列,其中一系列全局变量会被设置为0。如果这个值不为0,程序会启动一个不明作用的线程。
最后,程序还会检查操作系统的版本。如果系统版本高于2000,它会将操作系统版本的全局变量设置为1。
hackshield是一款网游反黑客系统。主要功能在EHSvc.dll中,通过驱动来修改SSDT进行反调试。驱动文件是作为附加数据绑在EHSvc.dll文件尾部。动态的解出,加载完毕马上删除(大概存在几秒钟就被删掉了)。
