软件名称：精灵游戏辅助软件 - 红月4503私服版

软件功能：外挂

编译语言：VC++

我们来看有没有壳，很好没壳的肉肉。：）
　　OD载入,我们看看他有什么字串提示。用OD的Ultra String Reference插件，人懒嘛就不用W32dasm了

，找到“用户通过验证”这里双击它来到0040387B   .  68 00274200       push RMSprite.00422700
我们就向上找~~~~~
00403803   .  8B2D F4C34100     mov ebp,dword ptr ds:[<&USER32.SetDlgIte>; 

USER32.SetDlgItemTextA
00403809   .  68 10274200       push RMSprite.00422710                   ; /Text = "连接服务

器中,请稍候..."
0040380E   .  68 E9030000       push 3E9                                 ; |ControlID = 3E9

(1001.)
00403813   .  52                push edx                                 ; |hWnd
00403814   .  FFD5              call ebp                                 ; \SetDlgItemTextA
00403816   .  BF 0C214200       mov edi,RMSprite.0042210C                ;  ASCII "Ver1.257"
0040381B   .  83C9 FF           or ecx,FFFFFFFF
0040381E   .  33C0              xor eax,eax
00403820   .  8D9424 FC000000   lea edx,dword ptr ss:[esp+FC]
00403827   .  F2:AE             repne scas byte ptr es:[edi]
00403829   .  F7D1              not ecx
0040382B   .  2BF9              sub edi,ecx
0040382D   .  C78424 F8000000 0>mov dword ptr ss:[esp+F8],1
00403838   .  8BC1              mov eax,ecx
0040383A   .  8BF7              mov esi,edi
0040383C   .  8BFA              mov edi,edx
0040383E   .  C1E9 02           shr ecx,2
00403841   .  F3:A5             rep movs dword ptr es:[edi],dword ptr ds>
00403843   .  8BC8              mov ecx,eax
00403845   .  83E1 03           and ecx,3
00403848   .  F3:A4             rep movs byte ptr es:[edi],byte ptr ds:[>
0040384A   .  8D4C24 78         lea ecx,dword ptr ss:[esp+78]
0040384E   .  C78424 3C010000 B>mov dword ptr ss:[esp+13C],0B4
00403859   .  51                push ecx
0040385A      FF15 A0C44100     call dword ptr ds:[<&aaalib.radius_auth>>; 

aaalib.radius_auth
00403860   .  83C4 04           add esp,4
00403863   .  83F8 04           cmp eax,4                                ;  Switch (cases

0..4)
00403866      0F87 0B020000     ja RMSprite.00403A77
0040386C      FF2485 883A4000   jmp dword ptr ds:[eax*4+403A88]
00403873   >  E8 C8F1FFFF       call RMSprite.00402A40                   ;  Case 0 of switch

00403863
00403878   .  8B53 1C           mov edx,dword ptr ds:[ebx+1C]

我们在
00403809   .  68 10274200       push RMSprite.00422710                   ; /Text = "连接服务

器中,请稍候..."
这里按F2下断，运行~~~~~~为什么在这里下断呢？因为我们输入完用户名和密码，他要从里开始到网络上

验证，所以呢我们要从这里开始看他怎么走的。
OK断下了，我们慢慢走~~~~~~~~来这里
0040385A      FF15 A0C44100     call dword ptr ds:[<&aaalib.radius_auth>]       ; 

aaalib.radius_auth
这句是建立一个联接到服务器去验证，我们信息是不是对的。所以我们把这句改NOP，右键-》汇编，NOP
然后向下走~~~~~~来到
00403866     /0F87 0B020000     ja RMSprite.00403A77
呵呵，很明显我们是不能让他跳的，改成NOP，右键-》汇编，NOP
再看到这句0040386C      FF2485 883A4000   jmp dword ptr ds:[eax*4+403A88]
这时EAX是9，9*4+403A88 得出来的地址是403AAC。比上面的那个跳转还飞得远，再说了下面就是验证成

功了，我们当然不能让他飞了，所以简单的就直接NOP。