防止多开的方法又很多种,比如:
- 遍历进程,如果目标进程已经存在就认为正在运行,现在的进程退出
- 互斥体,也就是mutex,本质是生成一个全局变量。如果检测到这个变量已经存在,现在进程就退出
xxxx PC端用的是mutex。可以用OD打开xxxx的exe,然后CTRL+G查找CreateMutex函数,能找到两个:CreateMutexA和CreateMutexW;A是Ascii版本的,W是unicode版本的。xxxx这种全球月活用户破10亿的客户端,肯定是unicode版本的,避免遇到不同国家用户不兼容的情况,所以这里选择CreateMutexW,然后下个断点,继续运行,直到断下,如下:这里已经能看到CreateMutexW传入的参数了;
继续单步执行,直到xor eax,eax这行,再看ebp和下面对应的栈:
- ebp指向createMutexW调用前的ebp;
- ebp+4是createMutexW调用前的下一行地址,也就是返回地址;
- ebp+8开始是3个参数:分别是0、0和mutex的名称;不知道有没有小伙伴留意到:mutex的名字好长,为啥要这么长了?字符多了就容易被找到啊,而且还明显带有xxxx、app、install、identity、mutex等含义分明的字眼,明眼人一眼就能看出这些字符的业务意义,xxxx的开发人员是怎么想的了? 我个人猜测:mutex名称是全局的,也就是操作系统层面所有进程都共享。如果名称太短,容易和其他进程已经创建的mutex重名,导致xxxx无法打开。而名称中带有这些明显意义关键字符的作用也类似,可以和其他进程创建的mutex却分开来,避免影响xxxx进程的创建!
这里需要把名称改成其他的,所以继续在左边的内存窗口,跳转到0x64ED28位置,随便选个字符,比如第一个W,原本是57,现在改成00,直接放过运行:
过几秒钟就能看到弹出的xxxx登陆窗口,此时再点击xxxx.exe,又弹出一个窗口,效果如下:
多开的效果已经达到。此时如果还要继续生成xxxx实例,可以用CE附件第二个xxxx进程,找到mutex继续改名即可;
后续会继续分享hook的方法拦截CreateMuteX函数,改变第三个参数的名称,把xxxx多开做成补丁一样的功能,方便使用;