文章总结： 该文档分析了一款游戏外挂软件的运行流程：程序作为加载器先清理网络环境，远程获取配置文件后下载加密的sys驱动文件，创建驱动服务并自动清理痕迹。作者指出这种远程加载配置和恶意驱动的流程可用于衍生免杀技术，目前能绕过火绒和360等杀软检测。 综合评分： 45 文章分类： 恶意软件,免杀,安全工具,逆向分析,其他

一次外挂程序的分析-Bypass

原创

Pikaciu Pikaciu

Piusec

2026年3月27日 23:45 四川

在小说阅读器读本章

去阅读

免责声明

本文仅用于技术讨论与学习，利用此文所提供的信息或工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任!

一、前言

本来在愉快的玩游戏但是突然就发现了外挂狗，我从小到大最恨这种开外挂的，尤其这种开外挂还打不赢，我就去寻找这个游戏的外挂，就诞生了这篇文章，这篇文章只是简单分析这个外挂软件的运行流程，基本没有代码分析。

二、分析加载器

这个程序是没有进行任何加壳的，通过 IDA 获取到了源码，这就是一个加载器暂时还没有触碰到内存，最开始通过 ipconfig /flushdns 清理了本机网络环境。

跟踪到做的第二个动作，远程访问了一个地址

访问远程加载的地址，可以看到是一个服务器地址配置，这里是做了一个配置隐藏

下一步动作现在对 sys 文件进行了一个下载，落地。

创建驱动服务，加载成功后会自动清理痕迹（删除落地的.sys），这里再说明一下这里远程加载的链接是白名单。

三、衍生免杀

这次分析外挂主要是分析的流程，这个流程也很符合在免杀中的远程加载，这里再简单说一下这个外挂软件的流程。本地这个程序就是 C2 的加载器（lodaer）–>   远程加载 config 配置文件（远程加载 key） –> 远程加载恶意 sys 驱动文件（加密后 shellcode） –> 绕过游戏反作弊（绕过杀软）

通过这个逻辑写的免杀目前是能过火绒、360，其它杀毒软件还没有测试。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Piusec Pikaciu Pikaciu《一次外挂程序的分析-Bypass》