更多内容,敬请关注微信公众号:缥缈资源空间
食用方法:
1.PC微信--将两个dll文件复制到WeChat文件夹,跟WeChat.exe同目录即可
2.PC钉钉--将两个dll文件复制到main\current_new文件夹,如果没有current_new文件夹 就复制到current文件夹,如果放在current文件夹,突然某天失效了,那么就是钉钉更新了 需要将两个文件从current文件夹删除,并再次复制到current_new文件夹即可
3.企业微信--将Bester.dll放在WXWork文件夹,和WXWork.exe同目录,将另外一个dll放在WXWork文件夹下面的3.1.8.3015文件夹,这个是文件夹名是版本号的意思,可能跟我的不一致,我这个是最新版本
特别注意:不要直接复制BesterHook文件夹到程序目录,这样无效,把两个dll从BesterHook里面复制出来
如果成功,会弹出一个welcome信息框,该信息框会在1秒钟后自动消失,我对微信 企业微信 钉钉的进程名做了判断,如果不是这些官方进程名,不会进行加载 请知悉
不要改dll文件名!!!! 不要改dll文件名!!!! 不要改dll文件名!!!!
关于封号问题,别找我,我已经最大限度规避了检测风险,没有用劫持之类的技术,没有加vmp壳,没有注入,也不会残留在进程当中,实现了多开就会卸载,并且我自己也在使用,目前无任何异常,杀毒也没有报,错误也没有报
文件md5&CRC32
1.Bester.dll de51fbc2968d21e63b7e028c54a0c4bd 16aee150
2. 8aac1f2e3b6745ee174f6603f391c4be 62477690
3.BesterHook.rar 9b31622b1c586c2b989ae09176bdc592 81415dad
用别的语言做注入器需要用的导出函数名 : Bester 或者 _Bester@0
需要注意的是用暂停方式启动微信或者企业微信或者钉钉,然后自己要解决我上面说的钉钉那个问题
目前多开的方式:
1.注入式inline hook 需要启动注入工具+动态链接库
2.DuplicateHandle 复制句柄并关闭源句柄
3.硬改官方的DLL,该方法较为简单,
4.劫持dll
5.利用windows异常原理做hook
几种方式各有优缺点,我一开始采用的是第一种方式,发现对于钉钉有个问题就是,他更新后会存在current_new文件夹,
当运行current文件夹的DingTalk.exe时,会自动重启current_new文件夹中的DingTalk.exe导致hook失效,pc微信和企业微信暂未发现该问题,于是放弃该方法
第二种方式则较为广泛采用,没有明显的优缺点,但是他需要经过三个步骤,枚举句柄,查询句柄名称, 远程复制并关闭互斥体
第三种则需要随着官方的更新而更新文件,不能做到完整通杀,较为麻烦,虽说可以特征码定位,但是不算完美方案,而且破坏了文件原本的签名,也许会被检测,至少我有这个担忧
第四种做劫持dll其实有一定的概率被杀毒查杀
第五种 也是我上一个版本采用的方案,该方案我自认为仅次于第二种方案,但是也不够完美,同样存在对钉钉hook失效的问题,但是不难解决,也存在被杀毒查杀问题
综上,我寻找多日追求一个我理想中的方式,于是乎,利用IAT加载我的hook动态链接库,并调用ReleaseMutex实现释放互斥体成为我最终的方案,并为了防止检测,我实现了自卸载功能
目前由于赶工,理论上还是存在写法问题,但是先放出来大家体验一下,有需要的话,可以自己做释放程序释放到目录,做成注入式也是可以的,已经提供了接口
更多内容,敬请关注微信公众号:缥缈资源空间
----------================-----------================---------
☆敬告:
软件注册文件可能被部分杀毒软件报毒或间谍木马,请自行甄别取舍。
该下载资源仅限个人用户基于测试学习之用,请勿用于商业目的。
更多资源,敬请关注微信公众号:缥缈资源空间
----------================-----------================---------
==============================================================
附:
二○○二年一月一日《计算机软件保护条例》第十七条规定:为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬!
缥缈资源空间免费提供该软件下载,软件版权归其软件公司或原作者所有。
如果你喜欢,请支持正版!
评论0