妖城在线论坛 - Powered by Discuz! Board

标题: [讨论] CG-X-SEVER反挂分析(带破解--全汇编) [打印本页]

作者: HOHO 时间: 2013-12-11 00:41 标题: CG-X-SEVER反挂分析(带破解--全汇编)

使用软件XueTr和CE6.4驱动版魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表! d+ a7 H4 y0 t

启动游戏后一共有十个HOOK~bbs.mocwww.com: b7 i, X$ e* I1 `% w

无驱动

一个个HOOK来搞吧- -5 u+ J2 z/ z* _/ o) {7 a1 Y1 X7 u% T
bbs.mocwww.com; [  ?% d, R' k8 ]! y) a
第一个HOOK--地址004db520
处理方法
内存地址---004db55d
修改为6A 00 EB D8 02 00 00妖城在线论坛% p" W( R% K( `; I1 b9 R# z/ z
bbs.mocwww.com' G0 F9 e( Q% R# p% u2 d
第二个HOOK--地址004db566
处理方法
内存地址---004db696魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表6 l! n" ~/ M6 O" H
修改为50 68 01 01 00 00 89 35 98 07 c3 00 E8 ED 26 E9 CB FE FF FF 90 90
90 90 90 90 90 一直到4db68f都是90魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表5 x# d$ }) t. l. D/ G1 Z
魔力私服,最新魔力宝贝私服技术交流1 }3 O" q; F: V2 p, q2 d3 K2 \
第三个HOOK--地址004e1fe8$ C% ]0 m' ]+ u8 ^9 q* P
处理方法—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート1 d* X8 ^5 J3 i
内存地址---00163905
修改为---A0 50 53 C3 00 E9 E3 E6 37 00 90 90魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表* `. g$ O5 Z0 v5 `

第四个HOOK--地址004e20a0妖城在线论坛+ u3 v6 q6 U2 k. i1 C2 d$ s
处理方法
内存地址---001638B8
修改为---A0 08 4F C3 00 E9 E3 E7 37 00 90 90

以上4个HOOK都是和DLL无关连的~其实可以直接恢复HOOK,按照以上操作可以在不恢复HOOK的情况下让函数还原妖城在线论坛2 n4 G" P% \2 l& h) R0 {

第五个HOOK--地址00433180
处理方法魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表5 y0 b5 A/ @7 Y1 T+ J
内存地址---10006cc3妖城在线论坛2 N) |3 P5 @# y' C+ U! n
修改为---90 90 90 90 90妖城在线论坛( }, L. G: S" T' H3 l/ z& l

这个HOOK代码里面有个CALL会跳到DLL另一地址,如果不修改直接恢复,HOOK也会存在,但游戏不会崩,后验证其实此HOOK是图档相关的修复,可不理会妖城在线论坛) U- e. j, j5 |: W0 H
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート, W) w! _: P  g' a. w
第六个HOOK--WSOCK32中RECV--地址71a42e70bbs.mocwww.com1 h3 T" h8 A/ k+ y
第七个HOOK--WS2_32中的RECV--地址71A2676F
魔力私服,最新魔力宝贝私服技术交流3 X" c, x- N9 J$ q8 Q
WSOCK32.recv - E9 12C45C9E          - jmp cgx_e7ml.dll+F287
WSOCK32.recv+5- 51                   - push ecx
WSOCK32.recv+6- 51                   - push ecx

RECV函数头被修改前5字节,改为了JMP命令魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表, S* [4 B: j! X+ e. I- T: y

这里我们不能动这5字节,因为有矫正,只要改了或者恢复了,会掉线的魔力私服,最新魔力宝贝私服技术交流0 a1 h/ x" ]% v
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート: Y* T4 U+ f. p) ?  Q( @
那我们只能修改他跳转地址中的代码了—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート  ^9 x0 ?# P& ^# p& B7 M( C5 @. j
bbs.mocwww.com) D$ n5 K; [2 H) ], T8 P
以上两个HOOK都被指向同一个地址1000f287

cgx_e7ml.dll+F287 - 56                   - push esi
cgx_e7ml.dll+F288 - 57                   - push edi—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート8 Z" n0 S( k5 A& l7 n, W* A
cgx_e7ml.dll+F289 - 53                   - push ebx—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート: p0 A: t) c& @4 y
cgx_e7ml.dll+F28A - 8D 74 24 10          - lea esi,[esp+10]bbs.mocwww.com  [2 u- q( s+ F0 v$ n: T, U
cgx_e7ml.dll+F28E - 83 EC 10             - sub esp,10
cgx_e7ml.dll+F291 - 8B FC                - mov edi,esp—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート+ b4 {$ j* n9 O# Z# z$ U6 @
cgx_e7ml.dll+F293 - FC                   - cld —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート, m1 t' n! ^! x# R( t' z
cgx_e7ml.dll+F294 - B9 04000000          - mov ecx,00000004
cgx_e7ml.dll+F299 - F3 A5                - repe movsd 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表4 Q" d; I+ Z1 }; Z, E
cgx_e7ml.dll+F29B - E8 F2FDFFFF          - call cgx_e7ml.dll+F092妖城在线论坛" e* T* h9 q' `1 S4 j/ e3 G
cgx_e7ml.dll+F2A0 - 5B                   - pop ebx
cgx_e7ml.dll+F2A1 - 5F                   - pop edi魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表. z* L" O/ @1 R+ `# a3 N( z
cgx_e7ml.dll+F2A2 - 5E                   - pop esi—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート3 ?6 c. d; W$ Z  V1 [# n& k
cgx_e7ml.dll+F2A3 - C2 1000             - ret 0010

RET 10--函数调用有4参数~具体代码我就不解释了,我告诉你怎么改魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表$ N" L2 `& h$ q/ l3 u9 i
魔力私服,最新魔力宝贝私服技术交流& j: i: H1 b1 B8 t
RECV原函数头汇编码如下
MOV EDI,EDI魔力私服,最新魔力宝贝私服技术交流7 @0 p* B5 h$ m, v- u% ]+ q
PUSH EBP
MOV EBP,ESP  f- O2 S" f3 p
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート* |8 S* m' b( u  J  R
这就是被修改的5字节原汇编码bbs.mocwww.com9 j( N& @- q% g  \9 }( m
妖城在线论坛$ L  L, _/ b0 E" O
下面添加JMP命令调回去原函数
jmp 71a42e75
把原函数头以及JMP命令写入513135内存中

这个地址的具体16进制代码忘记记录下来了- -你们你自己转换了
妖城在线论坛9 F: a! {! W. L( P' s- s! h' ?1 b
修改的代码从1000f287开始
' {' u# L$ ~' S
修改为8B FF 55 8B EC E9 E4 38 A3 61
然后从1000fc91-fca6全部都是90

这样修改后,反挂在接受封包RECV函数中所做的所有判定全部无效了
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート# H3 `8 ^1 `; B4 g0 i  [* x5 U
第八个HOOK--DbgUiRemoteBreakin--OD调试所需函数--7C97211C
同RECV,有矫正,不可恢复
魔力私服,最新魔力宝贝私服技术交流7 U- }4 I* G5 U. D0 s; n- U) P, h6 {
内存地址---10006CA8
修改方法:(由于此HOOK纯属破坏函数,所以修复的字节会比较多)
E9 85 C4 50 F0
内存地址---513135
6A 08 68 68 21 97 7C E8 A3 C7 FB FF 64 A1 18 00 00 00 E9 E2 EF 45 7C
魔力私服,最新魔力宝贝私服技术交流) X0 S7 F( f, D5 [
这里申明一下,为啥这里修改不像前面一样在DLL内存空间里面修改,DLL内存空间的汇编码如下bbs.mocwww.com9 P+ k7 W% n" T4 P/ ?, H9 l
push esi—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート# m7 U* Q) p, g8 c" `# V) W
push edi
push ebx妖城在线论坛/ N9 q. b5 i, H4 o' n) I
CALL 地址忘记了- -魔力私服,最新魔力宝贝私服技术交流) X5 @5 P* Q0 t& y/ C& S" C% J4 E
pop ebx妖城在线论坛4 G  A' |. U& h, {' Q" s
pop edi魔力私服,最新魔力宝贝私服技术交流3 e3 h) G/ ]  L6 I* t$ f
pop esi
ret 0010
bbs.mocwww.com+ O7 F. e- B& E1 f' k8 J! }
push是压入数据于指定寄存器,而POP则是清除寄存器数据,两者对应的就是为了CALL完函数后所做的堆栈平衡,如果在这里直接修改,堆栈不平衡直接导致游戏崩溃

而CALL命令所需字节是5字节,刚好可以写个JMP,所以修改方法就有点复杂了
妖城在线论坛9 ?2 @' i1 H$ m: x2 Z
至此函数已全部修复,但HOOK绝对没有动,矫正不出来,OD可以正常加载CG了bbs.mocwww.com$ H9 h! O0 ^& k

第九个HOOK--LoadLibraryExW--加载外部DLL所需函数--7C801AF5
同RECV,有矫正,不可恢复魔力私服,最新魔力宝贝私服技术交流5 A& x. t$ h# Y, q4 c
内存地址---10006C7D---居然破坏了8条函数头指令- -蛋疼
6A 34 68 F8 E0 80 7C E8 D5 09 00 00 33 FF 89 7D D8 89 7D D4 89 7D E0 89
7D E4 8B 5D 10 E9 73 AE 7F 6C 90 90 90 90 90 90 90 90 90妖城在线论坛6 `1 ^4 w! T% W# l
至此函数已全部修复,但HOOK绝对没有动,矫正不出来,外部DLL可正常加载,且本身妖城在线论坛5 m0 A/ W% `6 h0 ^! B7 S
验证函数调用信息的判断已被破坏

第十个HOOK--SEND--发送数据的函数(封包二次加密也在这里面了)--71A24C27
不可恢复,由于有二次加密,如恢复则直接断线魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表' }5 v, z; k- ~) K$ ~0 {
看看跳转处汇编码~~9 H( k) ^2 l8 p6 M6 R
cgx_e7ml.dll+EE94 - 56                   - push esi妖城在线论坛/ R2 t9 z3 O" \2 O9 e: f
cgx_e7ml.dll+EE95 - 57                   - push edi魔力私服,最新魔力宝贝私服技术交流9 ~2 G1 R8 A7 O- z7 g9 J8 g' s
cgx_e7ml.dll+EE96 - 53                   - push ebx
cgx_e7ml.dll+EE97 - 8D 74 24 10          - lea esi,[esp+10]
cgx_e7ml.dll+EE9B - 83 EC 10             - sub esp,10
cgx_e7ml.dll+EE9E - 8B FC                - mov edi,esp
cgx_e7ml.dll+EEA0 - FC                   - cld
cgx_e7ml.dll+EEA1 - B9 04000000          - mov ecx,00000004
cgx_e7ml.dll+EEA6 - F3 A5                - repe movsd
cgx_e7ml.dll+EEA8 - E8 69F7FFFF          - call cgx_e7ml.dll+E616
cgx_e7ml.dll+EEAD - 5B                   - pop ebx魔力私服,最新魔力宝贝私服技术交流+ l; b, {. S) X7 M5 w
cgx_e7ml.dll+EEAE - 5F                   - pop edi魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表5 y( {$ l9 K2 @" o' i3 p
cgx_e7ml.dll+EEAF - 5E                   - pop esibbs.mocwww.com. V1 T  |$ Y2 G$ a% E
cgx_e7ml.dll+EEB0 - C2 1000             - ret 0010妖城在线论坛* r9 w) J: Q8 K

RET 10~~还是4参数~符合SEND函数的参数定义魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表! F! U& n* f8 N; A8 j0 f

参数一:套接字
参数二:封包内容指针bbs.mocwww.com0 l5 k7 s' R6 \1 M2 z% s% u$ d
参数三:封包长度3 a# _3 a/ M1 z  R, ~5 R  F
参数四:FLAG=0
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート7 w1 ?) o5 H' Q- k8 K6 @! M* i7 r5 g
理论上PUSH这四个参数,然后CALL加密函数地址1000E616就可以调用他的加密函数bbs.mocwww.com2 G! u8 s  d* E& e7 L8 h
来发包了- -未看具体加密细节~也未测试这个CALL有效性

一晚上写这玩意好累~最后的SEND分析就迟点再出吧- -6 `( g$ H5 D% e* z

并非秀技能~正如某人所言~这个可能也是没有技术含量~小白慢慢学~我承认我是小白哈~

妖城在线论坛5 w9 F' C; z6 ?; z/ r: ^
[ 本帖最后由 HOHO 于 2013-12-11 00:46 编辑 ]

作者: HOHO 时间: 2013-12-11 00:46

惯例是自己的~~

作者: nj001 时间: 2013-12-11 07:43

虽然还看不懂，但是好厉害哟

作者: 小狐狸 时间: 2013-12-11 18:30

有好东西就继续发。。。。

作者: vklovevk 时间: 2013-12-12 16:58

出个视频就好了！！！！

作者: nijiechao 时间: 2015-8-27 18:08

出个视频

欢迎光临妖城在线论坛 (http://bbs.mocwww.com/)