游戏版本：3.0.0.26

外挂版本：8.30

功能描述：

自动挂机

分析思路：

开启外挂后，用spy++监控游戏内消息模拟，在键鼠未操作情况下，接受到大量的模拟按键模拟消息：

证实外挂通过模拟按键实现挂机功能。

分析游戏环境，pchunter分析注入：

外挂共向游戏进程内注入cfgdll.dll和dm.dll，核心逻辑在dm.ll中实现。猜测外挂可能修改hook游戏内按键和窗口相关api，分析进程内钩子：

OD附加游戏后在主窗口下消息断点，监控按键消息，在键鼠未操作情况下，游戏断下：

回溯堆栈最终定位到dm.dll中。

综上分析，可以了解外挂的大致运行原理：向游戏内注入cfgdll.dll和dm.dll，由dm在游戏内部hook了关键的按键操作及消息分发api，后调用游戏消息处理函数进行按键模拟，调用dx进行窗口绘制。

*转载请注明来自游戏安全实验室（GSLAB.QQ.COM）