网吧三国
标题:
客户机好司机执行程序被修改
[打印本页]
作者:
天青色等烟雨
时间:
2020-6-29 14:22
标题:
客户机好司机执行程序被修改
本帖最后由 游戏小哥 于 2020-7-6 14:31 编辑
现象描述:
客户机启动好司机,点击启动没反应,对比发现客户机好司机执行程序的创建时间和MD5值与服务端不一致
排查过程
1、检查服务器查看steam目录下好司机执行程序正常
(, 下载次数: 83)
上传
点击文件名下载附件
2、检查客户机发现下载的所有好司机的资源执行程序都被替换了
(, 下载次数: 86)
上传
点击文件名下载附件
3、使用基础包测试正常,执行程序没有被修改
4、找台客户机使用processmonitor监视PUBG执行程序被修改过程
5、QQ浏览器进程创建修改了PUBG的好司机执行程序,父进程DesktopLayer.exe PID:4748
(, 下载次数: 89)
上传
点击文件名下载附件
(, 下载次数: 92)
上传
点击文件名下载附件
6、检查DesktopLayer.exe进程,程序是开机生成的 图5
(, 下载次数: 134)
上传
点击文件名下载附件
7、DesktopLayer.exe的父进程为NetBarClientSrv.exe,PID:4620,检查NetBarClientSrv.exe为8圈收费程序
(, 下载次数: 85)
上传
点击文件名下载附件
(, 下载次数: 88)
上传
点击文件名下载附件
8、NetBarClientSrv.exe的父进程为NetBarClient.exe,PID:5012,在任务管理器可以看到该进程为8圈收费的主程序
(, 下载次数: 79)
上传
点击文件名下载附件
(, 下载次数: 83)
上传
点击文件名下载附件
欢迎光临 网吧三国 (http://www.583go.com/)
Powered by Discuz! X3.4