当前位置: 移动技术网 > 网络运营>安全>加解密 > 对一游戏外挂浅浅的分析

对一游戏外挂浅浅的分析

2018年02月04日  | 移动技术网网络运营  | 我要评论
前言:夜阑静,已是凌晨2:11分,明天还要实习,但这几天在研究一个网页游戏的辅助,也分享下自己的一些笔记和心得,虽然我是个大菜鸟。

 

真的是很遗憾,今天花了6,7个小时分析,基本上每一行都写了注释,后来分析了另外一个程序,注释和断点都清除了。下次一定要保存好!大家凑合着看吧T T

 

1.查壳

PEID---->ASPack 2.12 -> Alexey Solodovnikov

手脱

脚本脱

脱壳机脱

都行

记得用LordPE 和ImportREC 修复一下就好了。

 

2.来到代码入口点:

004F568D >  55              push ebp

004F568E    8BEC            mov ebp,esp

004F5690    6A FF           push -0x1

004F5692    68 084B5500     push Dumped_.00554B08

004F5697    68 44804F00     push Dumped_.004F8044

004F569C    64:A1 00000000  mov eax,dword ptr fs:[0]

004F56A2    50              push eax

004F56A3    64:8925 0000000>mov dword ptr fs:[0],esp

004F56AA    83EC 58         sub esp,0x58

004F56AD    53              push ebx

004F56AE    56              push esi

004F56AF    57              push edi

----------------------------------------------------

 

明显的C++头。

我在MessageBoxA 下断点:

注册按钮之后

断下来了来到

----------------------------------------------------

 

77D507EA >  8BFF            mov edi,edi

77D507EC    55              push ebp

77D507ED    8BEC            mov ebp,esp

77D507EF    833D BC14D777 0>cmp dword ptr ds:[0x77D714BC],0x0

77D507F6    74 24           je short user32.77D5081C

77D507F8    64:A1 18000000  mov eax,dword ptr fs:[0x18]

77D507FE    6A 00           push 0x0

77D50800    FF70 24         push dword ptr ds:[eax+0x24]

77D50803    68 241BD777     push user32.77D71B24

77D50808    FF15 C412D177   call dword ptr ds:[<&KERNEL32.Interlocke>; kernel32.InterlockedCompareExchange

77D5080E    85C0            test eax,eax

77D50810    75 0A           jnz short user32.77D5081C

77D50812    C705 201BD777 0>mov dword ptr ds:[0x77D71B20],0x1

77D5081C    6A 00           push 0x0

77D5081E    FF75 14         push dword ptr ss:[ebp+0x14]

77D50821    FF75 10         push dword ptr ss:[ebp+0x10]

77D50824    FF75 0C         push dword ptr ss:[ebp+0xC]

77D50827    FF75 08         push dword ptr ss:[ebp+0x8]

77D5082A    E8 2D000000     call user32.MessageBoxExA

77D5082F    5D              pop ebp

77D50830    C2 1000         retn 0x10

----------------------------------------------------

因为没发现关键跳,因此我Ctrl+F9 F8 几层之后,来到:

 

----------------------------------------------------

0048ED10   .  83EC 64       sub esp,64

0048ED13   .  56            push esi                                 ;  Dumped_.004613AC

0048ED14   .  8B7424 74     mov esi,dword ptr ss:[esp+74]            ;  Dumped_.00580070

0048ED18   .  57            push edi

0048ED19   .  8B7E 08       mov edi,dword ptr ds:[esi+8]

0048ED1C   .  57            push edi

0048ED1D   .  E8 0E410100   call Dumped_.004A2E30

0048ED22   .  83C4 04       add esp,4

0048ED25   .  85C0          test eax,eax

0048ED27   .  74 10         je short Dumped_.0048ED39

0048ED29   .  8D4424 08     lea eax,dword ptr ss:[esp+8]

0048ED2D   .  50            push eax

0048ED2E   .  56            push esi                                 ;  Dumped_.004613AC

0048ED2F   .  E8 FCE2FFFF   call Dumped_.0048D030

0048ED34   .  83C4 08       add esp,8

0048ED37   .  EB 42         jmp short Dumped_.0048ED7B

0048ED39   >  81FF 04000080 cmp edi,80000004                         ;  Switch (cases 80000002..80000004)

0048ED3F      75 04         jnz short Dumped_.0048ED45

0048ED41   .  8B0E          mov ecx,dword ptr ds:[esi]               ;  Case 80000004 (SINGLE STEP) of switch 0048ED39

0048ED43   .  EB 3A         jmp short Dumped_.0048ED7F

0048ED45   >  81FF 02000080 cmp edi,80000002

0048ED4B      75 12         jnz short Dumped_.0048ED5F

0048ED4D   .  8B16          mov edx,dword ptr ds:[esi]               ;  Case 80000002 (DATATYPE MISALIGNMENT) of switch 0048ED39

0048ED4F   .  8D4C24 08     lea ecx,dword ptr ss:[esp+8]

0048ED53   .  51            push ecx

0048ED54   .  52            push edx

----------------------------------------------------

 

这里有一个跳是可以跳过messagebox的,可是我试了之后,发现程序跑飞,因此不得不再次找上一级的CALL。。。。

根据远CALLF7  近CALL F8的原则  时时刻刻观察OD的几个窗口,真的叫一个目不转睛!

跟踪+跟踪+再跟踪!坚持+坚持+再坚持!

看到一行疑似注册码的字母,相当兴奋,仔细一分析,原来是磁盘序列号,,接着是各种序列号,MAC,机器注册码,总之走了很久。

name和serial终于出现!本来要放弃的我又兴奋起来了,可惜仔细分析之后,并没有明码比较,而是和http://www.etigou.com/jqm/index.php/index/zhuce/cardid/有关,于是我想 可能是网络验证。

fosom师傅之前虽然指点过 要修改几个跳转

 

但是接下来还是让我发现了一个关键跳,只要修改一个 可以实现注册界面上的爆破:

 

0040B9F2    33C9            xor ecx,ecx       此时;ecx=0

0040B9F4    41              inc ecx

0040B9F5    51              push ecx

0040B9F6    50              push eax

0040B9F7    3BC8            cmp ecx,eax       ;此时ecx=1 eax=0

0040B9F9    0F8F 8F020000   jg Dumped_.0040BC8E                      ; 关键跳,跳则死,不跳成功    (但是这个程序跳了之后再次运行到这里的时候必须不跳)

 

----------------------------------------------------

ecx 此处是计注册次数用的

爆破1.

我先将jg 改成je 发现可以注册成功,但是注册成功的窗口i一直弹出,关了继续弹出。

面对这样,我写了个内存注册机,点击注册之前先将jg改成je,弹出框后再将je改成jg,于是就成功提示“注册成功”了。

爆破2.

我在想,如果可以将eax改成1的话,那么也能实现第一次不跳,之后跳转恢复,实现爆破,可惜字节不够,fosom师傅说用SMC技术,可是我找了一下,CC也很少。。

最后我往上找,

把0040B9F2    33C9            xor ecx,ecx

改成not ecx  让ecx=FFFFFFFF  

成功实现了爆破

爆破3.

我继续往上找:

想办法让一个寄存器的值=1,我是让EDX=1了

然后在0040B9F7    3BC8            cmp ecx,eax 

这一句上,将eax改成edx 也能实现爆破。

 

其实我觉得 还有很多方法的,比如说,既然关键跳是0040B9F9    0F8F 8F020000   jg Dumped_.0040BC8E  

而JG的测试条件是SF=OF且ZF=0,我们是否能找到影响标志位的语句来影响这个跳转呢?

 

最后附一下fosom师傅教我的另一种方法:

 


 

 

如图所示:

1,在需要改的jne,修改成jmp。

2,在所在模块,找9个空字节(连续的CC很多,容易找)。

  这样就实现了,运行一次就自动恢复原有代码。

 

 

 

我觉得很不错,今天虽然累了 明天还要实习。但是收获颇多,我会继续努力的!

 

当然还有点问题,虽然只改了和少部分代码,但是还是有功能失效了,我觉得可以用对比分析来找出失效的原因,再加以改正就能成功。

 

努力早就实力!态度决定高度!

加油~!

                                                       2013.6.26.凌晨3点5分 

附件下载:

您可能感兴趣的文章:

如对本文有疑问, 点击进行留言回复!!

相关文章:

验证码:
最近更新的文章
大家感兴趣的文章
移动技术网