[Johnson]

Здраствуйте, уважаемые!)
Помогите разобраться с проблеммой....
Есть программа (1), есть программа (2)
прога (2) завершает прогу (1)...
в проге (1) сменил заголовок окна, имя класса.... само имя программы....
а прога (2) всеравно закрывает её
сырцов от (2) нету, поэтому не могу понять, по каким признакам она ищет (1)

посоветуйте, как ещё может (2) найти (1)? что мне изменить?

[Thrasher]

Причина очевидно Mutex. Для более детального изучения механизма прибивания одной проги другой, советую воспользоваться отладчиком. Если что пиши в личку.

[Johnson]

Дык.... меня интересует не механизм убийства, а механизм поиска....
Мне нужно просто чтоб прога (2) не могла найти мою прогу (1) (вернее не мою, но есть сырцы)

[Thrasher]

Если проги не большие, то выложи где-то, я помотрю и расскажу.

[Johnson]

_http://nosleep.clan.su/johnson/123.rar
l2phx - проксификарок+сниффер, прога(1)
l2prox - прога(2), это проксификарор, он также завершает программу (1)

от l2phx у меня есть сырцы, мне нужно её модернизировать так, чтоб l2prox не могла найти её в процессах...

[Johnson]

для этого мне нужно узнать, как (2) находит её... остальное сам сделаю... имя файла, заголовок и имя классов менял... не помогает

[s0Creator]

А порт прослушки 56574 менять не пробовал?
(уже сам попробовал - убивает)

[s0Creator]

Кстати по тексту в заголовке окна тоже ищет
(возможно по нескольким параметрам)
У меня (2) пытался закрыть огненного лиса когда в заголовке было:
L2PacketHack - MMOZONE.ru Online Gaming Community

кстати есть версия 3.2.0
http://forum.coderx.ru/uploads/l2phx320.rar

[Johnson]

версия 320 у меня тоже есть.... и сырцы... но мне нужно ИМЕННО 318...

так что? ни у кого никаких идей? если нужно - выложу сырцы

[s0Creator]

Да сырцы я уже нашел
ща потихоньку JVCL ставлю для этих сырцов
(ругается на мою студию 2006)
я вот подумал - лиса (2) не убил (тот только спросил закрывать ли все вкладки)
Может попробуешь защититься от закрытия
(кстати как поставить эту библиотеку? )

[s0Creator]

не получается JVCL поставить
говорит ошибку

[Thrasher]

Покопался я в том l2prox.exe и уяснил условия поиска и убивания. Прога ищет 2-мя способами:

1. Поиск процесса. Если имя процесса будет одним из ниже перечисленных, то закрыть его. Перечислены процессы patcher171.exe, la2fun.exe, wpf406.exe, la2monster.exe, WP406F.exe , l2phx.exe, la2reklamer.exe, LordPE.EXE, L2Walker.exe, l2proxy.exe, L2Pilot.exe, L2dummy.exe, la2brute.exe , L2Cheat_InformeR_1.3.exe, hlapex.exe.

2. Поиск окна по классу. Если название Приложения(то что в панели задач) комбинация следующих слов: L2, CHEAT, L2WALKER, LA2REKLAMER, PACKETHACK, LORDPE, HLAPEX, L2PROXY, LA2BRUTE, L2CHEAT, LA2FUN, L2PILOT, L2PACKET, L@MONSTER, то окну посылается сообщение WM_CLOSE, после чего убивается l2.dl (библиотека такая, правда убивается как процесс, а не как DLL).

Кстати программа l2prox усиленно следит за сокетами, но ей абсолютно по барабану, что и куда передают.

Как спрятать? Очень просто:

1. Переименовать l2phx.exe во что-нить другое например l2phx1.exe
2. Открыть переименованный файл в Hiew
3. По RVA .05250C0 (или по физическому смещению 01244С0) изменить строку "L2PacketHack" на что-нить другое (только надо смотреть чтобы полученная строка не попадала под 2-е условие поиска)