打印

[讨论] CG-X-SEVER反挂分析(带破解--全汇编)

HOHO

妖使

Rank: 3 Rank: 3 Rank: 3

UID: 3805
精华: 2
积分: 1073
威望: 0 度

阁楼大中小发表于 2013-12-11 00:41 只看该作者

CG-X-SEVER反挂分析(带破解--全汇编)

使用软件XueTr和CE6.4驱动版& @! d' U1 p5 A8 b+ O

启动游戏后一共有十个HOOK~—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート, m1 n& C9 M: D0 F- d9 {
妖城在线论坛4 Y% T, `' {: Z  J( c2 [) j( x' C! u
无驱动—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート7 ]$ C9 x* P8 H

一个个HOOK来搞吧- -bbs.mocwww.com8 D* T3 R4 G' ~5 V2 K9 [  ~* I! s
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート4 P/ l% V, _7 o/ q
第一个HOOK--地址004db520
处理方法
内存地址---004db55dbbs.mocwww.com2 p9 R/ G$ [8 ^$ x: b- |
修改为6A 00 EB D8 02 00 00
魔力私服,最新魔力宝贝私服技术交流) J2 I# ?5 p% k4 }: i- z
第二个HOOK--地址004db5662 p0 J6 G$ B" r0 k0 {* R  O1 t
处理方法
内存地址---004db696bbs.mocwww.com# _% X8 V2 B/ i# b  d/ U
修改为50 68 01 01 00 00 89 35 98 07 c3 00 E8 ED 26 E9 CB FE FF FF 90 90 % `0 ^9 G( Q' D! ]' m/ ]$ U
90 90 90 90 90 一直到4db68f都是90% n5 `) O! ]& b9 [* w
魔力私服,最新魔力宝贝私服技术交流; r& m! S0 W( e+ ~7 b7 x3 ^# m
第三个HOOK--地址004e1fe8魔力私服,最新魔力宝贝私服技术交流% j; a9 `+ s. P& t6 s' M& [% L
处理方法
内存地址---00163905
修改为---A0 50 53 C3 00 E9 E3 E6 37 00 90 90& v8 e1 F( V# m6 U/ p+ N$ c4 N
, s; v5 K" d9 W
第四个HOOK--地址004e20a0
处理方法
内存地址---001638B8bbs.mocwww.com0 J- L* `% b( H% h" v9 z0 F! K  V
修改为---A0 08 4F C3 00 E9 E3 E7 37 00 90 90

以上4个HOOK都是和DLL无关连的~其实可以直接恢复HOOK,按照以上操作可以在不恢复HOOK的情况下让函数还原

第五个HOOK--地址00433180bbs.mocwww.com6 o/ P) b$ b2 ?9 T5 A# z4 I7 T/ a
处理方法魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表' p" Y, F- B4 }  H+ \
内存地址---10006cc3
修改为---90 90 90 90 90魔力私服,最新魔力宝贝私服技术交流) @! Y% |4 _8 ]; t* R3 A
魔力私服,最新魔力宝贝私服技术交流' f4 C/ t( J5 m* [7 N. x
这个HOOK代码里面有个CALL会跳到DLL另一地址,如果不修改直接恢复,HOOK也会存在,但游戏不会崩,后验证其实此HOOK是图档相关的修复,可不理会妖城在线论坛4 z% w! n, d: e; I7 ]$ [
魔力私服,最新魔力宝贝私服技术交流5 z$ i2 C( c0 s7 c
第六个HOOK--WSOCK32中RECV--地址71a42e70
8 i/ y0 q) b8 |1 r) h妖城在线论坛第七个HOOK--WS2_32中的RECV--地址71A2676F

WSOCK32.recv - E9 12C45C9E          - jmp cgx_e7ml.dll+F287
WSOCK32.recv+5- 51                   - push ecxbbs.mocwww.com6 h, }) o4 A2 \+ {. T: u
WSOCK32.recv+6- 51                   - push ecx

RECV函数头被修改前5字节,改为了JMP命令bbs.mocwww.com$ p2 f. A  G. \/ B$ Q3 F
" i2 H; H8 L. Y9 V
这里我们不能动这5字节,因为有矫正,只要改了或者恢复了,会掉线的
: J/ N9 z1 I1 \% f$ h  X
那我们只能修改他跳转地址中的代码了
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート$ O% C3 m4 @  m1 u* D5 Q
以上两个HOOK都被指向同一个地址1000f287
/ Z8 I3 s. L1 G: N/ F+ l$ |$ w# y
cgx_e7ml.dll+F287 - 56                   - push esi
cgx_e7ml.dll+F288 - 57                   - push edi
cgx_e7ml.dll+F289 - 53                   - push ebx
cgx_e7ml.dll+F28A - 8D 74 24 10          - lea esi,[esp+10]
cgx_e7ml.dll+F28E - 83 EC 10             - sub esp,10
cgx_e7ml.dll+F291 - 8B FC                - mov edi,esp
cgx_e7ml.dll+F293 - FC                   - cld 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表' S9 V+ I, h2 z9 l  `6 L* u6 m
cgx_e7ml.dll+F294 - B9 04000000          - mov ecx,00000004妖城在线论坛% E4 a' S, f  H! F7 p: n5 U# F4 C
cgx_e7ml.dll+F299 - F3 A5                - repe movsd 妖城在线论坛3 O4 z; P* Y2 P
cgx_e7ml.dll+F29B - E8 F2FDFFFF          - call cgx_e7ml.dll+F092—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート, z0 T7 W  D7 Z) A. i4 o
cgx_e7ml.dll+F2A0 - 5B                   - pop ebx
cgx_e7ml.dll+F2A1 - 5F                   - pop edi
cgx_e7ml.dll+F2A2 - 5E                   - pop esi妖城在线论坛8 |9 e; n' Q- M$ v0 e( J0 B' o
cgx_e7ml.dll+F2A3 - C2 1000             - ret 0010妖城在线论坛+ H6 F+ z( {: U( h
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表0 T) d! d7 [$ d" Y; k$ c5 k
RET 10--函数调用有4参数~具体代码我就不解释了,我告诉你怎么改bbs.mocwww.com7 e# c7 R; c+ Y' }+ G- F/ W
1 Q9 p, K7 X$ P. q2 y# R( O% N5 S
RECV原函数头汇编码如下
MOV EDI,EDIbbs.mocwww.com' p! N+ `9 ?8 V7 E! M5 A% y2 b
PUSH EBP—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート' E3 @0 `, t' q$ P& }+ l" J7 z: R
MOV EBP,ESP

这就是被修改的5字节原汇编码

下面添加JMP命令调回去原函数bbs.mocwww.com! U" @; c& B2 G( w) N8 E. X" O
jmp 71a42e75
把原函数头以及JMP命令写入513135内存中
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表* Q/ B* N5 K  Z, j
这个地址的具体16进制代码忘记记录下来了- -你们你自己转换了妖城在线论坛- ]: f1 l  |3 i

修改的代码从1000f287开始

修改为8B FF 55 8B EC E9 E4 38 A3 61
然后从1000fc91-fca6全部都是90

这样修改后,反挂在接受封包RECV函数中所做的所有判定全部无效了
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート* D, w6 @: @& d8 O/ }% m4 g
第八个HOOK--DbgUiRemoteBreakin--OD调试所需函数--7C97211C妖城在线论坛7 }1 W0 i/ ~$ b) ~* v- ?2 O0 i! e- ^$ M/ t
同RECV,有矫正,不可恢复
7 w, k8 b4 u  q% [& f4 E
内存地址---10006CA8
修改方法:(由于此HOOK纯属破坏函数,所以修复的字节会比较多)
E9 85 C4 50 F0
内存地址---513135魔力私服,最新魔力宝贝私服技术交流4 B: ~  D7 ^& h4 G- X$ u" u4 d2 O
6A 08 68 68 21 97 7C E8 A3 C7 FB FF 64 A1 18 00 00 00 E9 E2 EF 45 7C—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート$ b: e7 G( z( n1 i6 L
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート1 [" h- x! J) m: m  X
这里申明一下,为啥这里修改不像前面一样在DLL内存空间里面修改,DLL内存空间的汇编码如下妖城在线论坛$ I+ T9 J  n$ F! P
push esi
push edi9 V1 l- S) |+ i- K/ D
push ebx
CALL 地址忘记了- -
pop ebx
pop edi魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表) }6 X2 f7 m3 m* F7 I
pop esi
ret 0010
) K, f" D( S+ B' y( P0 F
push是压入数据于指定寄存器,而POP则是清除寄存器数据,两者对应的就是为了CALL完函数后所做的堆栈平衡,如果在这里直接修改,堆栈不平衡直接导致游戏崩溃—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート# Y% O) z$ D/ N" E5 c% I

而CALL命令所需字节是5字节,刚好可以写个JMP,所以修改方法就有点复杂了5 a! \/ E6 E. l* x# K
bbs.mocwww.com# O2 _; y3 o3 e* x' Y9 w
至此函数已全部修复,但HOOK绝对没有动,矫正不出来,OD可以正常加载CG了妖城在线论坛7 R7 L/ u& X* P3 e  u+ U
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート6 t/ X* u% R4 F' X) t& B
第九个HOOK--LoadLibraryExW--加载外部DLL所需函数--7C801AF5
  t% t- q# u& G" d- N5 v3 N& {同RECV,有矫正,不可恢复bbs.mocwww.com8 ?4 `0 o# M/ V
内存地址---10006C7D---居然破坏了8条函数头指令- -蛋疼妖城在线论坛0 ^  K* M4 r# S8 ^; j5 i( o
6A 34 68 F8 E0 80 7C E8 D5 09 00 00 33 FF 89 7D D8 89 7D D4 89 7D E0 89
7D E4 8B 5D 10 E9 73 AE 7F 6C 90 90 90 90 90 90 90 90 90bbs.mocwww.com* o9 c5 x0 D+ a, L
至此函数已全部修复,但HOOK绝对没有动,矫正不出来,外部DLL可正常加载,且本身
验证函数调用信息的判断已被破坏魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表$ k0 s6 }( w! y& I$ u! [" m
魔力私服,最新魔力宝贝私服技术交流1 w7 l' J/ M& J% u' ^
第十个HOOK--SEND--发送数据的函数(封包二次加密也在这里面了)--71A24C27
不可恢复,由于有二次加密,如恢复则直接断线魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表; H7 t# ?0 A3 r& U3 ?
看看跳转处汇编码~~
cgx_e7ml.dll+EE94 - 56                   - push esi魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表2 E$ I( d- O% \+ {$ ?3 J0 J. y
cgx_e7ml.dll+EE95 - 57                   - push edi) U: F0 u+ F0 |0 p7 @+ Q
cgx_e7ml.dll+EE96 - 53                   - push ebx8 `* T" D+ R" k/ k, X. `8 {
cgx_e7ml.dll+EE97 - 8D 74 24 10          - lea esi,[esp+10]魔力私服,最新魔力宝贝私服技术交流% g8 b: v# x5 T  b  z3 o8 k
cgx_e7ml.dll+EE9B - 83 EC 10             - sub esp,10
cgx_e7ml.dll+EE9E - 8B FC                - mov edi,esp—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート9 u2 p! N0 L, p9 a! g6 `2 p
cgx_e7ml.dll+EEA0 - FC                   - cld
cgx_e7ml.dll+EEA1 - B9 04000000          - mov ecx,00000004魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表  C5 b, |* q- O' X/ `
cgx_e7ml.dll+EEA6 - F3 A5                - repe movsd —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート4 t1 N1 r7 D7 J( ]: \
cgx_e7ml.dll+EEA8 - E8 69F7FFFF          - call cgx_e7ml.dll+E616
cgx_e7ml.dll+EEAD - 5B                   - pop ebx
cgx_e7ml.dll+EEAE - 5F                   - pop edi
cgx_e7ml.dll+EEAF - 5E                   - pop esi
cgx_e7ml.dll+EEB0 - C2 1000             - ret 0010bbs.mocwww.com5 [% D/ }3 e: k# m/ @0 A

RET 10~~还是4参数~符合SEND函数的参数定义

参数一:套接字
参数二:封包内容指针
参数三:封包长度—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート! o! w% C2 x- O3 Y( v+ y
参数四:FLAG=0魔力私服,最新魔力宝贝私服技术交流6 N+ w0 i- Z2 T! x
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表! y6 i4 m: m2 ]
理论上PUSH这四个参数,然后CALL加密函数地址1000E616就可以调用他的加密函数
来发包了- -未看具体加密细节~也未测试这个CALL有效性—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート$ P0 m- ^2 N% O: ?; C

一晚上写这玩意好累~最后的SEND分析就迟点再出吧- -魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表0 S# t$ b) o3 L) T' _
) b6 k2 h& E) a& G6 O! H, r
并非秀技能~正如某人所言~这个可能也是没有技术含量~小白慢慢学~我承认我是小白哈~