|
妖使
- UID
- 3805
- 精华
- 2
- 积分
- 1073
- 威望
- 0 度
|
阁楼
大 中
小 发表于 2013-12-11 00:41 只看该作者
CG-X-SEVER反挂分析(带破解--全汇编)
使用软件 XueTr和 CE6.4驱动版
4 O& Z" M& U, {$ j" B8 ~魔力私服,最新魔力宝贝私服技术交流
( H) [1 m& i' s& t5 B魔力私服,最新魔力宝贝私服技术交流启动游戏后一共有十个HOOK~ 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表& j Y: ^3 W) S, h% w1 A
# a# P8 l# V8 z无驱动
; j B% ~/ q" `/ I: p魔力私服,最新魔力宝贝私服技术交流—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート6 x4 x) x" T( g% {3 D1 s0 S
一个个HOOK来搞吧- -
, X# @7 Q: A& s/ ~5 p) X7 v—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート
, F: I- S% U% C+ y% C2 P2 r第一个HOOK--地址004db520
$ O" E/ {; D- ]妖城在线论坛处理方法 妖城在线论坛2 B3 f& w2 H" W4 K5 A" y
内存地址---004db55d bbs.mocwww.com/ O. I! i* h( c
修改为6A 00 EB D8 02 00 00 —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート+ f* [9 H& h2 {- Y. ?) K& o
bbs.mocwww.com( q$ m- g: x+ m; n
第二个HOOK--地址004db566
7 y5 A5 s; j4 s2 Q6 e! ibbs.mocwww.com处理方法
! `+ _' \7 m9 C% V: \4 ]魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表内存地址---004db696 魔力私服,最新魔力宝贝私服技术交流4 T8 u8 N$ `) l- X( U
修改为50 68 01 01 00 00 89 35 98 07 c3 00 E8 ED 26 E9 CB FE FF FF 90 90
1 ^$ {' o, h, u% T8 j( ^2 x—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート90 90 90 90 90 一直到4db68f都是90
( N) |5 M) x! r7 E4 s) Q* v1 X—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表1 n! R8 c9 i8 x. h+ ~
第三个HOOK--地址004e1fe8
- t% E5 R: M3 F4 p4 ]; O! hbbs.mocwww.com处理方法
9 e% N- j; i' n: L妖城在线论坛内存地址---00163905 —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート1 T2 f [5 _+ L+ K, ]4 L3 o
修改为---A0 50 53 C3 00 E9 E3 E6 37 00 90 90
+ E+ l1 B) S3 d* Q0 \; Y" [% Z魔力私服,最新魔力宝贝私服技术交流
) H3 s8 Y2 h! e# d9 S. n魔力私服,最新魔力宝贝私服技术交流第四个HOOK--地址004e20a0
+ t% [* @1 P# j. S0 m/ {魔力私服,最新魔力宝贝私服技术交流处理方法 bbs.mocwww.com8 h4 R$ u+ g8 s
内存地址---001638B8 6 G2 [, z( o$ X: e9 e
修改为---A0 08 4F C3 00 E9 E3 E7 37 00 90 90
+ B& K M- I6 j1 A9 ~, |2 b' q$ T7 u魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表妖城在线论坛* J" I0 r: ]7 e! M
以上4个HOOK都是和DLL无关连的~其实可以直接恢复HOOK,按照以上操作可以在不恢复HOOK的情况下让函数还原妖城在线论坛& V. E6 w7 V0 s+ B
: ]- g& I9 P+ S. L1 k5 Obbs.mocwww.com第五个HOOK--地址00433180魔力私服,最新魔力宝贝私服技术交流, }3 l' f, d: d2 q% @0 r/ f
处理方法
9 s/ l# |9 z$ t4 ~2 R( V: D2 a妖城在线论坛内存地址---10006cc3 & S9 M9 u7 h0 Z' n
修改为---90 90 90 90 90 妖城在线论坛+ E% H4 {( q, w( W) [
4 u7 f( B/ f+ \; H0 j/ Q5 `这个HOOK代码里面有个CALL会跳到DLL另一地址,如果不修改直接恢复,HOOK也会存在,但游戏不会崩,后验证其实此HOOK是图档相关的修复,可不理会—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート( Y* r, X$ C1 ]% n
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表* \, f* d* d% D+ @: S; ?' I7 c
第六个HOOK--WSOCK32中RECV--地址71a42e70
+ V7 W# t: D6 h& U" ^bbs.mocwww.com第七个HOOK--WS2_32中的RECV--地址71A2676F妖城在线论坛. i$ I: q; V& z, A; Q9 }$ j9 u! b
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート% _% U7 l. t( [8 u; X6 c. E9 p2 T
WSOCK32.recv - E9 12C45C9E - jmp cgx_e7ml.dll+F287
* S2 h" \0 Q/ _: F: I* i4 U9 M$ k—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートWSOCK32.recv+5- 51 - push ecx bbs.mocwww.com& r+ f# X" y$ {2 s& y
WSOCK32.recv+6- 51 - push ecx bbs.mocwww.com2 y, h7 t0 G* L, W$ d& C8 o
6 l' ^/ K+ h7 I+ d) f; [/ L% W妖城在线论坛RECV函数头被修改前5字节,改为了JMP命令 魔力私服,最新魔力宝贝私服技术交流4 e0 O/ ] \! K( V* x1 M1 {7 L
* @3 r0 n- c G8 l
这里我们不能动这5字节,因为有矫正,只要改了或者恢复了,会掉线的
# m. f' b3 Z2 c% a& sbbs.mocwww.com魔力私服,最新魔力宝贝私服技术交流( k* O% N+ o# X
那我们只能修改他跳转地址中的代码了 7 U! G3 X4 H+ D3 b
bbs.mocwww.com4 G- ~; a" x! ^! C
以上两个HOOK都被指向同一个地址1000f287 魔力私服,最新魔力宝贝私服技术交流% r; V* [& X& \. O u2 g
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表+ }/ Q( x+ S Y4 x2 g7 u" D0 o& O
cgx_e7ml.dll+F287 - 56 - push esi bbs.mocwww.com# s. H( A% I ]0 _3 _; _9 M
cgx_e7ml.dll+F288 - 57 - push edi
! I8 i1 D4 A. q# @: M1 [5 E$ X6 e妖城在线论坛cgx_e7ml.dll+F289 - 53 - push ebx
( Y% w2 B$ c2 }- b5 n( Ncgx_e7ml.dll+F28A - 8D 74 24 10 - lea esi,[esp+10] 魔力私服,最新魔力宝贝私服技术交流+ ]0 G; s5 }/ r& ]; T
cgx_e7ml.dll+F28E - 83 EC 10 - sub esp,10 bbs.mocwww.com) J+ X! l% E1 E) p1 u- o! E$ {
cgx_e7ml.dll+F291 - 8B FC - mov edi,esp 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表$ Z6 p) m! Q V3 Q
cgx_e7ml.dll+F293 - FC - cld 魔力私服,最新魔力宝贝私服技术交流5 ?5 P. U, e1 O V) \8 g- o- m
cgx_e7ml.dll+F294 - B9 04000000 - mov ecx,00000004
7 x. A* r% i. \8 O: y魔力私服,最新魔力宝贝私服技术交流cgx_e7ml.dll+F299 - F3 A5 - repe movsd
1 t4 u1 V: Z7 E4 ^) B—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートcgx_e7ml.dll+F29B - E8 F2FDFFFF - call cgx_e7ml.dll+F092 bbs.mocwww.com \4 @) @; H4 x) R. [3 {6 @/ q
cgx_e7ml.dll+F2A0 - 5B - pop ebx 魔力私服,最新魔力宝贝私服技术交流; @, b% C9 D8 v6 b3 F1 l$ Z
cgx_e7ml.dll+F2A1 - 5F - pop edi
4 ^. l) s" n% D% r+ ybbs.mocwww.comcgx_e7ml.dll+F2A2 - 5E - pop esi
/ w; C2 i0 K' s3 x7 P8 Ybbs.mocwww.comcgx_e7ml.dll+F2A3 - C2 1000 - ret 0010
4 X+ q1 X. j: A) A" Q
( `: c) V: X( I& w% [' g0 x4 W( SRET 10--函数调用有4参数~具体代码我就不解释了,我告诉你怎么改
0 K; `; T2 b, y
# B4 L! ]3 y7 P+ M3 L妖城在线论坛RECV原函数头汇编码如下 魔力私服,最新魔力宝贝私服技术交流" r) Q! `- {$ s% c- P$ D4 `
MOV EDI,EDI 2 K! T; |2 R3 e9 D& [: i
PUSH EBP
: L2 ?/ t1 E8 E—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートMOV EBP,ESP 妖城在线论坛. n: o/ v' r2 h1 x2 r/ e e+ F6 h
: Z; [/ Z$ K8 ]( T2 L: u; }
这就是被修改的5字节原汇编码 妖城在线论坛! }8 m! I3 |' T; v4 g
6 M- T0 C0 O# H* I—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート下面添加JMP命令调回去原函数 : f7 n0 o( F" K6 _, F
jmp 71a42e75 魔力私服,最新魔力宝贝私服技术交流# a6 H( F- b0 y1 m. W! }
把原函数头以及JMP命令写入513135内存中 —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート- k" }) i5 z# {3 \, _" [
) e+ A$ G9 n/ j5 ^" W& G* ]' v魔力私服,最新魔力宝贝私服技术交流这个地址的具体16进制代码忘记记录下来了- -你们你自己转换了
8 w# B" i V/ `3 d) ^2 x1 `魔力私服,最新魔力宝贝私服技术交流
! g$ p7 j# l4 z, a8 a4 z—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート修改的代码从1000f287开始 bbs.mocwww.com; j j9 V j& P W" ]# ?4 W
$ P5 z: x; Y T1 ?0 T魔力私服,最新魔力宝贝私服技术交流修改为8B FF 55 8B EC E9 E4 38 A3 61 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表- d' E% C( G: x2 @$ \' N
然后从1000fc91-fca6全部都是90
) `' t' a5 F; ~6 f3 Dbbs.mocwww.com
1 F+ C1 V! O2 B( g$ tbbs.mocwww.com这样修改后,反挂在接受封包RECV函数中所做的所有判定全部无效了
7 a2 e ~$ y! H2 g0 ?% k6 X( }, D3 g7 {! F- U& h; T
第八个HOOK--DbgUiRemoteBreakin--OD调试所需函数--7C97211C妖城在线论坛: \8 O# G( X& n8 u. j" S/ P
同RECV,有矫正,不可恢复 —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート( W$ ?& P' ]' [$ s+ f! o+ v/ x
2 D d6 K4 \) n1 i2 I, m) a魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表内存地址---10006CA8
& [$ O6 r1 x6 b1 }! ?9 D- u! W修改方法:(由于此HOOK纯属破坏函数,所以修复的字节会比较多) 妖城在线论坛# y+ B. v6 Q. I
E9 85 C4 50 F0
. O* F# X9 \2 \) f' o% t; ^—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート内存地址---513135
, O- I2 K6 B7 [+ k妖城在线论坛6A 08 68 68 21 97 7C E8 A3 C7 FB FF 64 A1 18 00 00 00 E9 E2 EF 45 7C
& O& f4 R V4 {3 J妖城在线论坛
. O: m( s3 \; b6 E V# \bbs.mocwww.com这里申明一下,为啥这里修改不像前面一样在DLL内存空间里面修改,DLL内存空间的汇编码如下 bbs.mocwww.com P% G* Y8 ?2 c
push esi 妖城在线论坛) p, J% Z; B0 @; x" T, J: P
push edi
3 W' s# W9 ?3 |& q) m妖城在线论坛push ebx
7 T+ s2 h, s+ W0 O8 vbbs.mocwww.comCALL 地址忘记了- -
: ]5 Q$ `) Y: h( L2 E魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表pop ebx
4 d7 y( ~( x, s9 H8 J/ \: L—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートpop edi $ I: l8 ^* {6 Y( D
pop esi
* D7 k% P3 K+ Y! R. G) Wbbs.mocwww.comret 0010 w, U" r4 @: [
( k2 e. c2 k; R+ {" Apush是压入数据于指定寄存器,而POP则是清除寄存器数据,两者对应的就是为了CALL完函数后所做的堆栈平衡,如果在这里直接修改,堆栈不平衡直接导致游戏崩溃
q6 M- Z5 @: i) O) @魔力私服,最新魔力宝贝私服技术交流
7 H* H4 C) v" d2 ]' m% B妖城在线论坛而CALL命令所需字节是5字节,刚好可以写个JMP,所以修改方法就有点复杂了
- d/ x ^ O8 Z—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート
3 |7 E9 w. {& S( z& F* y% Y妖城在线论坛至此函数已全部修复,但HOOK绝对没有动,矫正不出来,OD可以正常加载CG了 妖城在线论坛+ X" W& [, b1 a% j* a
2 ` G h, F! bbbs.mocwww.com第九个HOOK--LoadLibraryExW--加载外部DLL所需函数--7C801AF5
$ J+ {- \1 f/ T) n同RECV,有矫正,不可恢复 bbs.mocwww.com& }7 B& \2 s# F" c
内存地址---10006C7D---居然破坏了8条函数头指令- -蛋疼 bbs.mocwww.com, B! s6 J( Q: J+ [: B; I
6A 34 68 F8 E0 80 7C E8 D5 09 00 00 33 FF 89 7D D8 89 7D D4 89 7D E0 89 bbs.mocwww.com8 t+ ^! G4 e0 i _0 A) _0 K2 A. _+ o1 B
7D E4 8B 5D 10 E9 73 AE 7F 6C 90 90 90 90 90 90 90 90 90
& f9 m- t. b3 S( A: m* V魔力私服,最新魔力宝贝私服技术交流至此函数已全部修复,但HOOK绝对没有动,矫正不出来,外部DLL可正常加载,且本身 魔力私服,最新魔力宝贝私服技术交流6 G) M! `2 O/ x0 w d
验证函数调用信息的判断已被破坏 —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート# n3 d' J d; ~" T0 d* w* W& j6 b
: @, m! K# c6 \第十个HOOK--SEND--发送数据的函数(封包二次加密也在这里面了)--71A24C27
! ~7 e. Y* M! B3 c# s3 o/ {! A2 @魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表不可恢复,由于有二次加密,如恢复则直接断线
/ c1 F( \+ H; ^* f" S9 @看看跳转处汇编码~~
% ` H3 k w! l* y5 x—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートcgx_e7ml.dll+EE94 - 56 - push esi
+ c6 d" ?6 t) [0 A魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表cgx_e7ml.dll+EE95 - 57 - push edi —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート ~3 L/ \# t4 p4 g1 ?
cgx_e7ml.dll+EE96 - 53 - push ebx
: ~ h/ l3 \! G( s* pbbs.mocwww.comcgx_e7ml.dll+EE97 - 8D 74 24 10 - lea esi,[esp+10] bbs.mocwww.com$ o) S8 I- o" {5 l( S3 A
cgx_e7ml.dll+EE9B - 83 EC 10 - sub esp,10 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表+ K# o" E0 a* |. t% M1 y
cgx_e7ml.dll+EE9E - 8B FC - mov edi,esp 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表7 X2 Z8 j8 F/ e, d
cgx_e7ml.dll+EEA0 - FC - cld
6 v: a5 U; u9 V3 i- y, Kcgx_e7ml.dll+EEA1 - B9 04000000 - mov ecx,00000004
! Z! q1 E# I1 W& r3 @- S1 m7 ocgx_e7ml.dll+EEA6 - F3 A5 - repe movsd
& u7 u9 n, o; A) r魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表cgx_e7ml.dll+EEA8 - E8 69F7FFFF - call cgx_e7ml.dll+E616
4 P/ B0 G7 ~( v- [魔力私服,最新魔力宝贝私服技术交流cgx_e7ml.dll+EEAD - 5B - pop ebx 妖城在线论坛) Z6 [2 _% P% ^8 O& c4 D3 G5 U
cgx_e7ml.dll+EEAE - 5F - pop edi
( f9 D' c! \+ b5 |" h+ wbbs.mocwww.comcgx_e7ml.dll+EEAF - 5E - pop esi 魔力私服,最新魔力宝贝私服技术交流: S4 D4 B f/ } U9 E6 e
cgx_e7ml.dll+EEB0 - C2 1000 - ret 0010
2 @5 V* u$ V0 O- d/ i—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート妖城在线论坛, V; {- y5 L( N, l' i) ^7 ~- o2 i
RET 10~~还是4参数~符合SEND函数的参数定义
8 R4 n, S' f: c; n- `—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート妖城在线论坛# L- d- z6 E8 T- n$ \
参数一:套接字
- M% w% z, O$ b- z: d魔力私服,最新魔力宝贝私服技术交流参数二:封包内容指针 魔力私服,最新魔力宝贝私服技术交流1 ]9 w# n) x4 _9 r9 Z) \
参数三:封包长度
. n9 W9 b+ V! G' [参数四:FLAG=0
- m( v0 k$ M h6 v' j! fbbs.mocwww.com
6 {5 u3 Q ]) f, P5 J妖城在线论坛理论上PUSH这四个参数,然后CALL加密函数地址1000E616就可以调用他的加密函数 + K( b1 J1 V+ P- l- ^9 V9 K9 y- Y
来发包了- -未看具体加密细节~也未测试这个CALL有效性
5 \3 |/ p3 p" E妖城在线论坛妖城在线论坛- D: R0 Q$ q3 X, S8 D3 E
一晚上写这玩意好累~最后的SEND分析就迟点再出吧- -
7 ?+ ?$ q7 H. bbbs.mocwww.com5 x G3 E2 o+ ^- d% x+ i2 ~
并非秀技能~正如某人所言~这个可能也是没有技术含量~小白慢慢学~我承认我是小白哈~  bbs.mocwww.com, A$ Z' [9 F6 V9 |
bbs.mocwww.com5 V! a" P9 m7 _' z7 g3 l
[ 本帖最后由 HOHO 于 2013-12-11 00:46 编辑 ]
驱动版反挂
需要直接联系QQ:368333211
加好友请说明来意
|
