指定玩家无限弹框进行炸房

文件结构十分简单，只有单独一个exe文件，PEID分析后有较多壳保护

1. 外挂登录流程分析及反调试初步绕过

通过上述OD附加直接退出，证明外挂对dbgbreak做了手脚

恢复后OD继续附加，仍然退出，猜测有其他检测

改用hook验证方式，对几处常见的反调试检测API hook分析，最终定位到外挂有单独检测线程

点击登录后，程序崩溃，猜测在登录按钮中做了检测和反调，继续监控API

发现在主线程中有检测函数

修改对应判断跳转，或直接用OD反反调试插件，附加后程序仍然退出，猜测有其他校验

修改掉对应窗口校验点击登录正常

此时整个登录流程已可正常分析

分析外挂描述的线程注入，对进程创建相关检测API hook后，发现有大量的进程遍历函数调用

自己实现一个假demo，将进程名修改为qqx51_game.exe，将窗口改为QQ炫舞，则可成功欺骗外挂进行假注入

确定上述猜想，进一步跟进，发现外挂调用了LdrLoadDll将外挂模块Yx2.dll加载

直接脱壳后dll加入vmp保护

脱壳前后dll大小简单增加

外挂将dll注入游戏后分析，发现游戏内仍然为压缩可，阅读性差，pchunter定位到发现Yx2.dll被恢复到脱壳前，进一步分析，发现当前文件夹还有一个Ymz2.dll，对比Ymz2与Yx2完全一致，猜测外挂用了Ymz2去检验和修复Yx2dll，直接将这两处dll替换后脱壳后的，在使用外挂，则发现外挂未还原dll

结合外挂逻辑，对关键函数下断，未发现有call函数调用，则考虑外挂主动构造数据包，对send函数下断，发现send点被hook

在外挂开启后，结合协议包ID做出过滤，定位到弹框类协议，并做堆栈回溯，定位到外挂模块中

进一步跟进分析，确认数据包构造过程

跟进到send函数，发送外挂即将这段数据调用send发送出去

至此外挂大体原理已经分析清楚