游戏版本：1.0.66.274

外挂版本：3.3.0.0

功能描述：

开启外挂后，可以实现相应的BT功能

分析思路：

分析外挂突破了游戏本身的逻辑，考虑可能修改了代码或者修改了数据，考虑外挂有模块注入，用pchunter分析得知，外挂并未向游戏进程内注入模块。

Dump外挂运行前后的代码段，发现有代码被修改，在外挂未注入模块的情况下，对游戏代码做出修改，则可能是通过跨进程读写或者驱动直接读写实现。

Pchunter查找驱动文件，定位到外挂的驱动模块：

Dump外挂的驱动模块后静态分析

发现有大量的读写操作（部分函数名为自己定义的），考虑到驱动文件肯定会与应用层进行通信，hook DeviceIoControl,打印对应的buffer，可以得到：

发现外挂的驱动模块一直在循环的读写游戏进程内的相关地址。得到读写地址后，对应到QQ三国的游戏中，进一步分析对应修改的地址和数据：

发现外挂针对于BT功能，结合着游戏内数据和代码两个方面都做了修改，有些数据在修改后实现相应操作后，又会被外挂修改为原数据。

 *转载请注明来自游戏安全实验室（GSLAB.QQ.COM）