分析思路：

1. 外挂无注入模块，猜测通过跨进程读写内存，修改代码或模拟协议实现。使用netpeeker网络抓包工具,观察外挂网络收发包情况，发现并没有大量发包过程，猜测可能通过跨进程读写实现或修改代码实现。

2. pchunter检测没有模块注入， 在外挂开启时，会拉起驱动，superec.processmemory.sys，此驱动与之前分析的[BT辅助V3.3外挂]完全一致。下图为驱动主要功能函数

3. 从驱动通信入手，对deviceiocontrol下断点，得到通信对象

4. 外挂将读写数据通过DeviceIoControl传递给驱动，由驱动对游戏进程内数据改写。回溯DeviceIoControl调用链，得到调用位置，分析参数InBufferSize，在开启加速后得到读写数据：

5. 驱动向地址为0x19267354位置循环写数据，定位到QQ三国游戏中对地址下访问断点得到访问位置

6. IDA中结合ebp赋值点,可以得到外挂修改了对象中对应的值

同理得到其他功能修改点

 *转载请注明来自游戏安全实验室（GSLAB.QQ.COM）