本栏目主要讲解如何解除禁止双开方面的各种方案.docx

本栏目主要讲解如何解除禁止双开方面的各种方案.docx

《本栏目主要讲解如何解除禁止双开方面的各种方案.docx》由会员分享，可在线阅读，更多相关《本栏目主要讲解如何解除禁止双开方面的各种方案.docx（43页珍藏版）》请在冰豆网上搜索。

本栏目主要讲解如何解除禁止双开方面的各种方案

本栏目主要讲解如何解除禁止双开方面的各种方案.为什么要禁止双开或多开呢?

原因很多.但我们的软件中若能有解开多开的功能,可以有很多的好处.比如一台机子可以同时登陆多个帐号上去玩．

要想解除中禁止双开的功能,就得先了解禁止双开方面的原理．其实想要禁止双开并不难.禁止双开的方法也有很多．但其基本的方式,本栏目会都给介绍一下.

在操作系统中每个在运行的进程都是独立的.禁双开的程序在运行时，需要留下一些专有的特征供第二次运行时检测用,当第二次运行时，会去尝试检测有没有某个专有的特征．若该特征已存在则结束自身进程.若不存在则继续运行.通过这种方式,就能简单的达到禁止双开的目的.

本文介绍第一种,是比较常用的．通过窗口标题与窗口类名的特征来达到禁止双开的功能.

如果我们的程序的主要窗口类名与窗口标题是唯一的,一般不会与他人的程序出现相同的情况时，可以用如下AＰI来实现禁止双开功能.

查找窗口的ＡPI

在程序运行载入主窗口之前，先通过该API检测一下是否已有存在相应标题的窗口了,若已存在时，自结束自身进程的运行.反之继续运行．

利用窗口标题与类名来防止程序被多开

上面的这段代码,简单的示例了如何使用这个API来达到禁止双开的方式.

根据这种禁止双开的方式．只要我们在运行第二个进程之前,先把第一个进程的标题修改成别的后,就能正常运行第二个进程,也就能达到解除双开的功能了..呵呵,简单吧！

见下面的代码，就能说明这个方法的使用了.

通过修改窗口的标题达到破解利用标题禁多开的程序方式与效果

上面的代码,就是一种极简单的解除窗口标题方式的禁止双开的功能了.．.

但有些时候,事情可能并不是这么容易能解决的,我们修改了其窗口标题，虽然能使其正常运行了,但该进程若在后期运行过程中,若取自已标题进行一次判断有没有被改变的话，马脚自然就露出来了.

对于这种情况,需要在创建第二个进程之前，修改已存在的进程的窗口标题后,新进程创建出来后马上把其窗口标题改回去.但是,这很难操作.所以并不推荐．

所以若不想通过修改其原窗口标题来达到多开,必需得HOOK其用来检测窗口禁止多开时的那些ＡPＩ．如这里使用的FｉndWｉndowA　这个API.只要在创建进程时,注入个DＬL，对该APＩ进行HOOK.在ＨOOＫ到的参数时，判断窗口标题.进行返回0即可.

下面贴上EXE的代码

采用安装线程DLL（）的方式注入myｄll.ｄll文件

在注入EXE的代码中，采用2.0版模块中新增的安装线程DLL（）方式进行注入.

下面再贴上DＬL的代码.

采用APIHＯOＫ来拦截ＦindＷiｎdowＡ例子程序运行效果

工具、源码可在网站首页公布的网盘中下载

很多的或一些共享软件,都在采用窗口标题方式来进行禁止多开．大家可以试试修改前个已创建进程的窗口标题一段时间,那个进程会不会出错．若不会出错说明修改标题无影响.然后再运行第二个进程看看能不能运行起来.

需要注意的是，并不定都会采用FindWindoｗA　该API来检测窗口，事实上，可用来查窗口的APＩ有很多．只是FinｄＷiｎdｏwA　相对比较常用罢了.对于其它的API检测窗口，可就得调试分析了.　另外有些是用文件名来判断的,只要复制一份EXE重新命令后就能双开了

前文讲解了有些使用窗口的标题类名特征来禁止程序双开.本文接着讲解使用进程名来禁止双开与解除的方式．

采用程序名来限制双开的情况很多.这类程序进程被创建时,会枚举系统里现有的所有进程，进行名称对照,发现与已相同存在时,就结束自身进程．

见下面的简单例子

使用枚举进程来禁止程序被多开

上述的代码在进程创建后，会枚举所有进程,然后进行程序名称的判断,发现有存在同名时就结束.

对于这类的,可以做个简单的解禁功能,只要把要运行的程序文件复制一份为别的文件名,然后运行之即可.见下面代码.

先复制为临时文件再用创建进程并指定原程序目录来运行

上述代码把目标程序复制一份临时文件,运行之,就可能达解除双开的目的了.

但有些时候,情况并没有这么简单,比如,有些程序进程被运行后,自已再检测自身的进程文件名是不是被改成别的了,禁止被改名的情况下,上述的方式就行不通了.

下面再贴一段APIＨOOK枚举进程时的一个APＩ.

Pｒocesｓ３2Next

只需要AＰIHOＯK Process３2Next进行程序名的判断,发现同名时,就再调用一次Pｒoｃess3２Next取下个进程结构去即可.

EXE的代码与上文的一致,下面为DLL的代码.

mydll.dlｌ代码.采用APＩＨＯＯK拦截Prｏｃess32Next实现解除多开限制

工具、源码可在网站首页公布的网盘中下载

很显然,这一切并不太难．.可以通过AＰIHOOＫ实现一些简单的进程隐藏,DLL隐藏等．文章中介绍得简单,只能给大家开扩一下思路．不过需要注意的是,可以用来枚举出进程和DＬL模块等的APＩ还是蛮多的,例如作坊2．5模块里的枚举进程线程模块等功能不使用R３层的ＡPI实现的,无法被ＡPIＨOOK给拦截到.

本文再介绍一种常用的禁双开的方式,英文名叫Muteｘ　中文名叫突变体或互斥体　等.作坊教程里称它为互斥体.

相同名称的互斥体对象在系统里也是唯一的.也就是说，若有一个进程已经创建了某个名称的互斥体对象后，其它的进程再去创建该名称的互斥体对象时.不会新建，而且把之前已创建的互斥体对象打开,返回该互斥体对象句柄.如果是打开的话另外会设置AＰＩ错误码1８3．

所以在很多程序中就会使用这个方式来实现禁止多开.例如QQ遊戲大厅就是这种方式.

下面为使用互斥体进行禁止多开的简单例子.

先贴上本例用到的几个ＡPI

下面是如何使用互斥体来实现禁止双开的代码.

使用互斥体实现禁止程序多开

采用互斥体的程序可以用procexp.exe这个程序查看到.

要解除这类的双开,只要在运行新进程前，先尝试着把所有进程中的该名称的互斥体句柄全关掉即可.

下面贴上如何枚举所有进程中的句柄，并且取出这些互斥体句柄对象的名称.判断是否是\BaseNameｄＯbｊectｓ\禁止双开示例”如果是的话,则使用一个远线程在目标进程里执行ＣlｏseHandlｅ这个API来关掉句柄.

注意，枚举出来的其它进程里的句柄,只属于那个进程才能用的,在我们的进程里是不能直接使用的,需要把那个句柄拷贝一份过来,才能在我们的进程中使用.

枚举出所有的句柄，找到目标进程里的某种对象句柄使用远线程进行关闭

上面的代码有些技术性和技巧性．大家慢慢的试着理解吧!

同样的,本文也给出了一个AＰＩＨOＯK的方案,ＤLＬ中的代码见下面.

因为创建互斥体时,若互斥体已存在时，会设置APＩ错误码为185.所以我们只需要ＨOOK创建互斥体时的那个API，判断其参数三的互斥体名称．然后把ＡPI错误码置为0即可.

采用APIＨOOK拦截　CｒｅａｔeMutexA达到解除双开限制功能

工具、源码可在网站首页公布的网盘中下载

本文介绍完毕,采用互斥体进行禁止双开的使用率是很高的.除了这三文所介绍的这些方式禁双开外,还有其它如独占方式打开文件　或共享内存　或注册表等等都可以做到禁止双开的目的.

本节教程采用解除双开限制-01里的禁止双开示例.eｘｅ进行.

先运行一个禁止双开示例.ｅxe进程 

再用OD载入第二个　禁止双开示例.eｘe进程.

分别下断点在以下两个API上.目的在于断在双开判断后将要终止进程时.

ExｉtＰrｏcess

TeｒminａtePrｏcess

按F９运行OD．会中断在　ＥxitＰrocｅｓｓ　.

见堆栈窗口内容

0012FE54 10０2Ａ27３ ／CALL　到ＥxitProceｓｓ来自ｋrnlｎ.１002A2６Ｄ

0012FE５８ 0０000００0 \ExｉｔCｏｄe=0

然后在汇编里转到　100２Ａ26D处这里krｎln是易语言的核心支持库.

1002A2５８ ５５ push eｂp ;核库某入口

1００2Ａ259 ８BEC ｍoｖ ebp,esp

1002Ａ２5B 8Ｂ4５　08 moｖ ｅax,dwordptr［ebp+8]

１00２A２5E ５0 pｕｓh eax

1００2A25F B9E8B91３10 ｍov ecx,1０1３B9E8

１002A２64 E8　D７27０30０ cａlｌ 1005CA４0

10０2A269 8B4D０8 mov ecx,dword　ｐtｒ　[ｅｂp＋8]

１002A2６C 51 push ｅcx

100２A26D FF15　E8８30D10 calｌ dword　ptr［＜＆KEＲNＥL3２.ExｉｔPｒoｃess>] ;ExitProceｓs

1002A273 5D poｐ ebp

1002A274 C3 reｔｎ ；函数尾

为了能追查到是什么地方ＣALL这个核心库.

在该核库函数入口处1002Ａ2５8下断点,然后ＯD重载禁止双开示例.ｅxe.

我的的目的需要是一直的往向走，直到在ＥXＥ的领空里为止,因为禁止双开的判断函数都是在EＸE里的,不太可能会在别的地方．

按F9运行,会中断在该核库函数入口1０02A2５8处.

见堆栈窗口内容

001２FE６０0040336７返回到禁止双开.0040３３67　来自禁止双开.０04033E1

回到在汇编里转到00403367处.这里的０040３367已经是禁止双开示例.exｅ领空了.

可以见到如下汇编代码段

０040３３２1 55 ｐush ebｐ ;子程序入口

0０40３32２ 8BＥC mｏv ebp,esｐ

004０3324 8１ＥＣ1000０0０0 sub esp，10

004033２A 8９6５FC mｏv dwoｒd　ptr［ｅbp-4]，esp

004０3３２Ｄ 6８D3３0４000 push 0０４030Ｄ3 ;入栈窗口标题

０040３332 68E０304０00 ｐush ００4０3０E０ ;AＳCＩI"Aｆx:

１0000000:

b:

100１1:

1９0001５:

０"

004０3337 B８　０00０00００ mov ｅax，0 ；设置EＡX=0

00４0333C E８　BE00０000 ｃalｌ 004033ＦF ;　第一个CAＬL调用FinｄWindoｗＡ

0０403341 3965FC cｍp dｗｏｒdｐtr　［ebp-4],ｅsp

０04０3３44 ７４０D ｊｅ ｓhoｒt00403353 ;跳转指令

004０334６ 68０60000００ pusｈ 6

00403３４B E8A900０0０0 caｌl 00４０3３Ｆ9 ;第二个ＣＡLL

0040335０ ８３C404 add esp,4

０040335３ ８945Ｆ４ mov dwordptｒ[ebp-C],　eａx ;　EＡX值入栈

0040335６ 83７DF40０ cｍｐ dｗｏrｄ　ｐtr[ebp-C］,　0 ；　比较值<＞0

０0４０335A 0Ｆ84　0A0０000０ ｊe ０0４０336Ａ ；跳转指令

０04０33６0 ６A0０ push 0

004０３362 E87A00０００0 call 004033E１ ;　调用易核库函数结束（）

0０4０３367 83C4０4 aｄd esp,　4 ；核库函数调用返回到这里

0040336Ａ ６8０20000８0 puｓh 80０0００02

0040３３6F 6A　００ ｐush 0

00403371 6８0１0０00０0 ｐush １

004０33７6 6A0０ ｐｕsｈ 0

０0403３78 6A00 push 0

０0403３7A 6A00 pｕsｈ 0

00403３7Ｃ 6801０00100 push 10001

００４０3381 68０0００0106 ｐush 601００00

00４033８6 68　010０01５2 puｓh ５2010001

０04０33８Ｂ 68０300０0０0 puｓh 3

00403390 BB　2０030000 mov ｅbx,３20

004033９5 Ｅ8　59000000 call 004033F3

０0４033９A 8３Ｃ４28 ａｄd esｐ,　28

00４0339Ｄ B80000００00 mov eax，0

00４033Ａ2 Ｅ900000００0 jmp 0０4033Ａ7

00403３A7 8BＥ5 mov eｓｐ,　ebp

0040３3A9 5Ｄ pop ebｐ

00403３AA C３ rｅｔn ;子程序结尾

见上面的这段汇编代码，这段汇编子程序正是禁止双开的关健段．从核心库返回到的０0４０3367上一个CAＬＬ　是调用核心库最终会调用ExitＰｒocｅssAPI来终止进程的．

再上面的就是一个比较跳转指令，可以跳过这个核心库的结束（）命令

00４03３53 894５　F4 moｖ dword　pｔr[ｅbp-Ｃ］，eax ;EAX值入栈

0040３3５6 ８３7ＤF4００ cmｐ dｗoｒｄptｒ　[ebp-C]，０ ;比较值＜>0

00403３5A 0Ｆ840A000０00 ｊｅ 0040３３6Ａ ；跳转指令

这个跳转指令,比较了一个EAX值与0的大小.一般情况下,EAX寄存器中的值都是来自某CALL执行后的返回值.所以我们得再看看,距离这个EAＸ最近的CALL里会不会有禁止双开的检测.

最近的CＡLL是

０04０334Ｂ E8A９００0000 caｌl ０04033F9 ;第二个CＡLＬ

我们在这第二个CＡLＬ下断点,然后进行OＤ重载，准备分析这个CＡLL,但很奇怪,居然没有断在这个断点的第二个CＡＬL上..

那么就得继续往上分析了．

以第二个CALL之前,有个比较跳转命令,该命令会跳过第二个CALL.

０04０3341 ３965FＣ cmp dwｏｒdptｒ[eｂｐ-4],ｅsp

０040334４ 74　０Ｄ je sｈｏrt　0０403３5３ ;　跳转指令

此时可以决定第二个ＣAＬL与禁止双开无关,那么,再往上找,还有个ＣALL.看来这个CALL一定会是了,因为再之上已经没有其它的CＡLL指令了．

下面是第一个CALL的指令,可以在第一个CALL处下断点,

０040３32D 68　D3３04０0０ puｓh ００４０３０Ｄ3 ;入栈窗口标题

00403３３２ 6８E0304000 puｓｈ ０0４030E0 ;AＳCＩＩ"Afx:

10000000:

b：

１0011：

19０001５:

０＂

0０403337 B80０0０0000 moｖ ｅax,0 ；设置ＥAX=0

0０40３３3C E8BE000000 call 004033FF ;第一个ＣALＬ　调用FiｎｄWindoｗＡ

然后OD重载ＥXE进行调试,断在了第一个CAＬL处．在这个ＣＡLＬ之前入栈了两次,可以在查看被入栈了两个参数正好分别是　"禁止双开示例"与　＂Ａfx:

１００00０00:

b：

10０11:

１90001５:

0".现在我们跟进这个CＡLL,需要去更详细的了解它

出来如下指令．

０04033FF　-FＦ２5　95324000 ｊmp ｄwｏrdpｔｒ[４03295] ；ｋrnlｎ.１0０2996Ｆ

一个JMP指令,无条件继续跟进.

这回跟到了ｋｒnln里了，核心库．已经离开了ＥＸE的领空.

1002９96F 50 push eax ;核心库函数体入口

1０02997０ E8E7ＦFFFFF caｌｌ １0029９5C ；返回　FindWindowA入口

100299７5 8３C404 ａｄｄ ｅsp,4

10029978 ＦFＥ0 ｊmp eax ;跳向APＩ

这段汇编指令不多,一个CＡLL与一个ＪMP.需要一步步仔细的调试他的变化了.记得注意EＡX的变化,因为EAX中的值最终会被用来比较而跳向ＡPI函数EｘiｔProceｓs去

第一条指令１00２996Ｆ不重要．

第二条指令是一个CALL,很显然很有必要跟进去了解其详情．但是

第三条指令平衡一下堆栈用.

第四条指令　jmpｅaｘ说明了,第二条指令的CALL会返回EAＸ里的值会是某个函数地址.如果不是地址的话,不该出现JＭP　EＡＸ　进行跳转的.

现在我想，先不急着跟进第二条指令CALL.打算先分析第四条指令的JＭＰ会搞些什么.

于是,按F8单步步过1０029970 E８E7FFＦFFＦ cａｌｌ 100２９95C这条指令

结果奇迹发生了,见右边的寄存器中的EAX值状态.

EAX77D2DＥ87　USER32.FindWinｄowA

ECX001２ＦFE0

EDＸ　１0１3C4Ｆ4ｋｒnｌn．1013C4F4

EＢＸ00１2FEC0ASCIＩ"\ｋrnln.ｆne＂

ESP0012ＦE58

EBＰ00１２FE78

ESIFFFＦFFFF

EＤI７C930738ntdll.7C930738

EIP100299７5　ｋrnｌn.１00２99７５

EAX中的值是一个　user32.dｌｌ里的ＡＰＩFinｄWiｎdowA.下面的JMＰ指令就是跳向该ＡPＩ的.

1002997８ FFE0 ｊmp eax

下面的进入了ＦｉｎdWindowA　函数体

７7D2DE87>8ＢFF mov edｉ,　edi ;nｔｄll.7C９3073８

77D2DＥ89 ５5 push ｅbｐ

7７D2DE8Ａ ８BＥＣ mov ebp，　ｅsｐ

77Ｄ2DE8Ｃ ３３C0 ｘor eaｘ,eax

77D２DＥ8E 50 pｕｓｈ eax

７7Ｄ2DE８F FF７50C ｐｕsｈ dwｏrdptr[eｂp＋C]

77Ｄ２DE92 ＦF75　08 puｓh ｄwoｒｄpｔr［eｂp+8］

77D2ＤE95 50 puｓh eax

77Ｄ2ＤE96 ５0 puｓh eax

7７D2DE9７ E８4CFＦFFFF cａlｌ 77D2DDE８

77D2DE9Ｃ 5D poｐ ebp

７7Ｄ2DE９Ｄ C20800 retn ８

堆栈状态

001２FE5C　０040334１／CALL　到　FinｄWｉndowＡ来自禁止双开.０040３３3Ｃ

0０1２ＦE600040３０Ｅ０|Clasｓ＝"Aｆx:

1000０000:

b：

10０1１:

1900015:

0＂

0０12FE６４0０40３０D3\Ｔitle=　"＂BD,"顾",ＡＢ,"开示例＂

执行完该API后就回到了EXＥ领空

0０4０３33C Ｅ8ＢE000０00 call 0040３３ＦF ;第一个ＣALL调用FｉndＷiｎdｏwA

004０33４1 39６5　FＣ cｍｐ dｗordptr　[ebp-4］，ｅｓｐ

0０4０33４4 74０Ｄ je short0040３353 ;跳转指令

现在可以总结,造成禁止双开的祸根就是在执行了FindＷｉnｄowA这个AＰI之后.会比较它的返回值是不是0?

不为0时就会跳向ExｉtPｒocess终止进程的运行.

清楚了禁止双开的原因后,接着就可以对症下药了.可以ＨＯOＫ掉该API就行了.

正所谓,光说不练假把式.本篇内容是以QQ游戏大厅程序为例子,本来我是很不情愿再写这篇的,因为此时写的这篇文章,很可能会在一段时间后,游戏更新了,未来本文就会失效.但还是写了,为了大家,也给前面的第四文做个佐证与一点补充.

先创建一个游戏进程，然后去创建第二个进程时,会创建失败，并且第一个进程的大厅窗口会被激活置为前台,另外任务栏下的QＱ游戏按钮也会被闪烁几下.

会闪烁可是好事啊，可以给我们找关键的禁止双开的CALL提供很多的帮助．

QQ游戏闪烁时的效果，是蓝色的,连着闪好几次

下面我们在开着第一个大厅的情况下，用OＤ载入第二个ＱＱ游戏大厅程序,然后下断点在以下两个会终止进程的API上

ExitProcesｓ

ＴermｉｎａtePｒｏceｓs

在OＤ里按F9运行,会中断在　ExｉｔProｃess上.

见堆栈情况

0012FF０47７Ｃ０9D45/CALＬ　到ExitPｒocｅss　来自MSVCRT.77C０9D3F

0012FＦ0８000００0０0＼ＥxitCode=　０

看堆栈提示,是MSVＣRT领空的　77C09D3Ｆ处指令　MSVＣＲT　是VＣ++的运行时库，与易语言的核心库一样的概念.另外就是易语言与易核心库是用VC＋＋编的,所以我们编写的易程序在运行时,也会加载这个ＭＳＶCRＴ运行库的

现在我们在反汇编代码处转到　77C09D３F　.

77C０9Ｄ１3 8BFF mｏv eｄi,edi ;ＶC运行时库某函数

77C09D１５ 55 ｐusｈ ebp

77C09D１6 8BEＣ mov ebｐ,esp

77C09D１８ 68　A440BE７７ pusｈ ７7BＥ40A４ ;ASＣII＂mscorｅe.dll"

77C09D1D FＦ１5E81０BE77　ｃall ｄwｏrｄ　pｔr[<&KERNEL32.ＧeｔModulｅHａnｄleA＞］;kernel32．GetModｕｌｅＨandleA

７７C０９D２3 ８５C0 ｔｅst eax，eaｘ

7７C09D25 7415 jｅ sｈｏrｔ77C09D３C

77C09D2７ ６8　9４４0ＢE77 pusｈ 7７BE４094 ；ASCＩI　＂CorEｘitProcesｓ"

77C０9D２Ｃ 50 puｓh eax

７7Ｃ09D2Ｄ FF15D０10BＥ７7　ｃall ｄwordｐtr　[<&ＫERＮＥL32.ＧｅｔProcAｄdresｓ>] ;　kｅrnel３２．GetProcAｄｄreｓｓ

77Ｃ０９Ｄ33 8５C0 test eax，ｅａx

7７C0９Ｄ35 740５ je ｓｈort７7C09Ｄ3C

77C09D37 FＦ7508 ｐush dwｏｒdptr［ebp+８]

77C09D3A FＦD0 calｌ eax

77C09D3C FＦ７５　０8 ｐush dｗord　ptr[ｅbp+8]

77C０9D3Ｆ FF151C12BＥ77calｌ ｄwｏｒdpｔr[<＆KERNEL32.ＥｘitProｃeｓs＞] ;kernel３２.EｘitPrｏcｅss

７7C０9Ｄ45 CC int3

７7C０9D46 ＣＣ inｔ3

我们当前要做的事就是一级一级的往上找,直到EXE领空为止,所以这