举报用户 Jeawel 在辅助软件发布空壳软件/简称水贴（附大量数据作为证据）

Eric_Stevens

天下武功，唯快不破
你可能骗得了别人，但你骗不了自己
你可能自以为高明，但终有露馅的时刻

近日，论坛用户@Jeawel 在辅助软件板块中，发布了其软件“天天启动器”（地址：http://www.zuimc.com/forum.php?mod=viewthread&tid=51111）

乍看截图发现程序除了丑了点，倒是没什么异常，可是下载后初次启动却发现似乎所有的用户输入控件的值都是预先设定好的，和此用户在帖子中介绍的“自动获取Java、游戏昵称、游戏文件名”完全不同，这就使我起了疑。而且我在启动器中填写了正确参数后点击“启动游戏”后，启动器除了最小化外未做任何操作。于是我就开始了以下分析：

首先是句柄分析，通过微软的Spy++获取到窗口句柄后发现，窗体的类型是“AAU_FORM”，经过查找后发现是AArdio生成的应用程序的窗体类型，程序中图片的类型“AAPicturePlus2”更是使我确信了这一点。目前AArdio还没有Minecraft启动的Example，Jeawel为什么不搞一个大新闻把源码发到aa论坛呢？另外在控件分析中可以得出，此程序UI主体由7个图片控件组成，也就是说UI完全是由图片拼凑而成的，毫无质量可言。

其次是内存注入分析，Jeawel在帖子中声称其程序可以自动检测系统用户名作为游戏昵称，这么说应该只可能在程序的运行内存中抓取到程序输出的“Administrator”（注：本人用户名并非此值，程序的输出已经说明了其错误的判断），而在程序的代码中无法抓取，但是在通过两个软件：CheatMaker和由蜡笔小猪开发的内存修改器查询后，发现其程序不仅仅是UI线程拥有Administrator值，其代码中也有，其他关于java的所谓自动检测也是如此。

最后，在Filemon的IO监控中，只检测到了程序启动时调用了硬盘，Minecraft启动时硬盘操作什么也没有发生。另外启动时也没有出现java进程，说明了此软件根本无法启动Minecraft！系空壳软件。

关于游戏昵称的值是否为程序自动查找的内存注入分析数据：
UI线程：

1. 0712DD30 41 00 64 00 6D 00 69 00 6E 00 69 00 73 00 74 00
   
2. 0712DD40 72 00 61 00 74 00 6F 00 72 00

复制代码

转义后得到

1. A.d.m.i.n.i.s.t.r.a.t.o.r.

复制代码

后台代码地址00AFC3D0也是此值，说明了所谓自动查找其实是预先定义。

窗体Spy++数据：

1. -67214, 天天Minecraft - 我的世界启动器{AAU_FORM[TID:2540]}
   
2.     -67218, {AAPicturePlus2}
   
3.     -67220, 天天Minecraft启动器{Static}
   
4.     -67222, {AAPicturePlus2}
   
5.     -67224, {AAPicturePlus2}
   
6.     -67226, {AAPicturePlus2}
   
7.     -67228, {AAPicturePlus2}
   
8.     -67230, 启动Minecraft{AAPicturePlus2}
   
9.     -67232, 主页>设置{Static}
   
10.     -67234, *Java路径：{Static}
    
11.     -67236, {RICHEDIT50W}
    
12.     -67238, 游戏昵称：{Static}
    
13.     -67240, {RICHEDIT50W}
    
14.     -67242, 游戏文件名称：{Static}
    
15.     -67244, {ComboBox}
    
16.         -67248, {Edit}
    
17.     -67250, 保存到{Static}
    
18.     -67252, {ComboBox}
    
19.         -67256, {Edit}
    
20.     -67258, 最大内存由启动器自动分配
    
21.     -67260, {AAPicturePlus2}

复制代码

硬盘IO监测我不懂怎么发啊喂。。

作为技术人员，我相信自己的技术和直觉！
除非作者找出确凿证据证明其程序是真正实用的，不然我决不妥协！

请管理员认清事实，迅速处理。不要留给大家一个zuimc管理不想管，不敢管，不会管的印象！
你说我写了这么长可不可以申个精Σ(っ °Д °;)っ（逃

唯一。

已处理~感谢举报！

Slime_mark

xuan_lv233 发表于 2016-8-7 12:35
可以，这很分析
我居然几乎看不懂，只看懂了“空壳软件”qwq

看懂82%

lxf1290

MoYi 发表于 2016-8-12 19:06
楼主请您理性对待此事！请勿以您认为来判断这件事情，无谓的解释和抗拒是没用的，Zuimc的管理都是空饷？？ ...

1.此楼主已经说明出大量证据信息，我认为楼主不会判断错误。再说你是不是帮被举报者掩饰？
2.处理事件可不是立即处理完。
【温馨提示：请不要与MCBBS作比较，以免引战】

MoYi

绝对与恶意份子对抗到底！！！绝对不同情恶意份子！

MoYi

Jeawel此用户的表达有错误，自创了很多他的术语！！@Jeawel

MoYi

请被举报者您理性对待此事！请勿以您认为来判断这件事情，无谓的解释和抗拒是没用的，Zuimc的管理都是空饷？？？楼主发帖好几天了，怎么还不做出回应和处理方法？？Zuimc的管理如此松懈？？请Zuimc看看隔壁MCbbs，非常严格！严师出高徒，这句话真的很好！并且！我对被举报人也不满！被举报人的启动器是全原创？？@Jeawel  

唯一。

我想说，被举报人的启动器我们都打不开游戏怎么解释？@Jeawel  

Eric_Stevens

Jeawel 发表于 2016-8-10 14:04
。。。楼主英语没学好吗，function的意思是函数，aatuo启动外部程序有点麻烦，我只是加了几句var函数来启 ...

function就是函数啊，你看看你的回复里你自己说java是函数而不是类型啊。启动外部程序会麻烦？示例里面一行就能解决。你这是在避开我的问题。