缘由：一个网友私聊发消息，看到国服开了云顶之弈模式，然后随之而来的是铺天盖地的外挂宣传，架不住“卖挂老哥”的诱惑，为了吃鸡满足虚荣心，9块钱买了个“LOL吃鸡助手”

于是，有了下面的吐槽：

拿到样本后，发现是个很简单的易语言程序，拆掉验证后，登陆；

这里，先看它葫芦里面卖的什么药，现在假设辅助是可以实现“神仙”功能的，我们随便找个程序修改成LOL游戏进程名，伪装成游戏运行起来，如果要修改游戏数据，必定会调用到API对游戏内存进行修改，所以我先测试，对WriteProcessMemory下断点；

激活断点之后，我们只需要激活功能触发断点，就可以看到外挂对游戏内存某处进行了修改，下面我们开始测试；

神奇的一幕出现了，激活了功能，断点并没有命中，每个功能都激活一下，发现程序都没有激活断点，为了防止漏掉特殊的修改内存办法，我们使用火绒剑分析一次；

依旧没有收获，甚至发现，所谓的LOL内部吃鸡助手，根本没有对游戏进行任何操作，

这也难怪外挂上面敢保证封号包赔了；

其实到这里，已经可以发现，所谓的LOL内部吃鸡助手，实际上只是个空壳，不仅如此，还是传播盗号木马的空壳；

辅助会在C：\windows\目录下释放一个为QQ.exe的文件，如此敏感的行为让我们开始下一步分析。

查下壳，UPX的，分析起来也简单。

esp定律到oep然后习惯性搜一下字符串。

不用多说，不仅没效果浪费了钱，可能还导致Steam账号被盗了。

盗号木马就不再做进一步分析了，腾讯电脑管家可以精准查杀此木马，不过如果是在网吧等无保护的风险环境下，账号极有可能被盗。

到最后，还有个彩蛋。

外挂上注明秒杀功能，购买了永久卡的用户激活此功能，会提示正在内测完善，可能所谓的

卖挂老哥也不想太侮辱受害用户的智商，用此功能吸引想在为所欲为的玩家，等玩家被所谓功能吸引花数百元购买了永久卡后，关闭使用~至于等玩家花了钱用了无效的功能最后账号被盗了，后悔已晚~卖挂老哥继续寻找下个下下个目标。

写到最后：

分析的程序很简单不是本文要表达的重点，主要想以此文告诫广大玩家远离外挂。并且揭露目前猖獗的LOL云顶之弈收费外挂的的本质。

套路太多，一不小心就连续受害，但是恶果皆是咎由自取。

另外，LOL云顶之弈我们可以把这个模式看成是LOL的一个新地图，实际上数据交互逻辑还是在服务器上交互，所谓用户本地单机修改爆率/伤害/血量都是骗子的无稽之谈。

卖挂老哥利用其他服务器出现bug后的短暂空窗期以及一些正常玩家的胜利图片诱骗对游戏框架了解不深的玩家进行欺骗达到卖挂宣传甚至是盗号远控。

玩家只要坚定一点，不使用外挂，就不会被骗更不会有账号和金钱损失。