Покопался я в том l2prox.exe и уяснил условия поиска и убивания. Прога ищет 2-мя способами:
1. Поиск процесса. Если имя процесса будет одним из ниже перечисленных, то закрыть его. Перечислены процессы patcher171.exe, la2fun.exe, wpf406.exe, la2monster.exe, WP406F.exe , l2phx.exe, la2reklamer.exe, LordPE.EXE, L2Walker.exe, l2proxy.exe, L2Pilot.exe, L2dummy.exe, la2brute.exe , L2Cheat_InformeR_1.3.exe, hlapex.exe.
2. Поиск окна по классу. Если название Приложения(то что в панели задач) комбинация следующих слов: L2, CHEAT, L2WALKER, LA2REKLAMER, PACKETHACK, LORDPE, HLAPEX, L2PROXY, LA2BRUTE, L2CHEAT, LA2FUN, L2PILOT, L2PACKET, L@MONSTER, то окну посылается сообщение WM_CLOSE, после чего убивается l2.dl (библиотека такая, правда убивается как процесс, а не как DLL).
Кстати программа l2prox усиленно следит за сокетами, но ей абсолютно по барабану, что и куда передают.
Как спрятать? Очень просто:
1. Переименовать l2phx.exe во что-нить другое например l2phx1.exe
2. Открыть переименованный файл в Hiew
3. По RVA .05250C0 (или по физическому смещению 01244С0) изменить строку "L2PacketHack" на что-нить другое (только надо смотреть чтобы полученная строка не попадала под 2-е условие поиска)
__________________
Хорошо написанная программа не требует документации
ICQ 9-184-668.
|