妖城在线论坛 - Powered by Discuz! Board

标题: [讨论] CG-X-SEVER反挂分析(带破解--全汇编) [打印本页]

作者: HOHO 时间: 2013-12-11 00:41 标题: CG-X-SEVER反挂分析(带破解--全汇编)

使用软件XueTr和CE6.4驱动版

启动游戏后一共有十个HOOK~
* p: ~: @9 C1 ?* P5 c
无驱动
妖城在线论坛- @2 M. J9 [. y8 ]
一个个HOOK来搞吧- -

第一个HOOK--地址004db520魔力私服,最新魔力宝贝私服技术交流+ F0 X9 F' a( B' h$ c3 Y- i$ y8 k
处理方法
内存地址---004db55d
修改为6A 00 EB D8 02 00 00

第二个HOOK--地址004db566魔力私服,最新魔力宝贝私服技术交流6 [+ |2 A4 |; E9 @' |, g, j/ f# T
处理方法魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表0 L- p1 n- c2 \$ g
内存地址---004db696—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート. n1 N/ T. A6 l# P- M0 P- V
修改为50 68 01 01 00 00 89 35 98 07 c3 00 E8 ED 26 E9 CB FE FF FF 90 90 —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート4 o: \! @" g! a0 N7 F. i
90 90 90 90 90 一直到4db68f都是90, R& c; A0 O$ o/ D
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表" D) u( ]( b6 Q  ]
第三个HOOK--地址004e1fe8妖城在线论坛0 q1 \/ G% Q7 N: j2 F* R9 e" h
处理方法
内存地址---00163905
修改为---A0 50 53 C3 00 E9 E3 E6 37 00 90 90

第四个HOOK--地址004e20a0—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート- E+ @( h) Q  ?& [4 j
处理方法
内存地址---001638B8
修改为---A0 08 4F C3 00 E9 E3 E7 37 00 90 90
bbs.mocwww.com0 c- T2 K- g& o% V
以上4个HOOK都是和DLL无关连的~其实可以直接恢复HOOK,按照以上操作可以在不恢复HOOK的情况下让函数还原妖城在线论坛1 B  }' |& J% N( a( O
bbs.mocwww.com2 |9 [; R: x1 c: A8 X" Y& u
第五个HOOK--地址00433180
处理方法
内存地址---10006cc3魔力私服,最新魔力宝贝私服技术交流1 k7 g7 {1 @$ c0 l2 Z
修改为---90 90 90 90 90魔力私服,最新魔力宝贝私服技术交流1 p0 Y2 K" w  M' K$ e

这个HOOK代码里面有个CALL会跳到DLL另一地址,如果不修改直接恢复,HOOK也会存在,但游戏不会崩,后验证其实此HOOK是图档相关的修复,可不理会

第六个HOOK--WSOCK32中RECV--地址71a42e70bbs.mocwww.com. B9 m; X4 W% a8 f( K! ~8 c$ {: \
第七个HOOK--WS2_32中的RECV--地址71A2676F妖城在线论坛, |+ E: G. u9 j3 a5 x
魔力私服,最新魔力宝贝私服技术交流& m+ {9 q: X% y5 j& L& o9 R
WSOCK32.recv - E9 12C45C9E          - jmp cgx_e7ml.dll+F287
WSOCK32.recv+5- 51                   - push ecx魔力私服,最新魔力宝贝私服技术交流( ~. Y) H: B/ r! o0 q6 z$ ~; i1 ^7 e
WSOCK32.recv+6- 51                   - push ecx
9 j+ ~- g+ c8 f" U, f4 f
RECV函数头被修改前5字节,改为了JMP命令
妖城在线论坛6 D8 Y7 ^/ B4 Y% g* `+ r
这里我们不能动这5字节,因为有矫正,只要改了或者恢复了,会掉线的魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表( r: Z8 _1 V* X, n9 E

那我们只能修改他跳转地址中的代码了
bbs.mocwww.com( r5 U2 ^9 L- v  Y; T' A
以上两个HOOK都被指向同一个地址1000f287bbs.mocwww.com& s7 {" u8 a8 G' a0 Y
魔力私服,最新魔力宝贝私服技术交流* u; ?* L. O7 g" [: z4 I- I0 K
cgx_e7ml.dll+F287 - 56                   - push esibbs.mocwww.com: T9 R" U; V# h, k! h- ?. x3 B' V
cgx_e7ml.dll+F288 - 57                   - push edi
cgx_e7ml.dll+F289 - 53                   - push ebx
cgx_e7ml.dll+F28A - 8D 74 24 10          - lea esi,[esp+10]
cgx_e7ml.dll+F28E - 83 EC 10             - sub esp,10
cgx_e7ml.dll+F291 - 8B FC                - mov edi,espbbs.mocwww.com( i$ h" A7 F9 c" H0 Q" M# K
cgx_e7ml.dll+F293 - FC                   - cld
cgx_e7ml.dll+F294 - B9 04000000          - mov ecx,00000004
cgx_e7ml.dll+F299 - F3 A5                - repe movsd
cgx_e7ml.dll+F29B - E8 F2FDFFFF          - call cgx_e7ml.dll+F092bbs.mocwww.com: H/ \; s! `$ a/ F" M: ?, o
cgx_e7ml.dll+F2A0 - 5B                   - pop ebx! u3 _/ I  g% S8 a
cgx_e7ml.dll+F2A1 - 5F                   - pop edi
cgx_e7ml.dll+F2A2 - 5E                   - pop esi
cgx_e7ml.dll+F2A3 - C2 1000             - ret 0010魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表  `$ w! L- K- K4 b% y* t  h
bbs.mocwww.com' R- }4 t9 z  C
RET 10--函数调用有4参数~具体代码我就不解释了,我告诉你怎么改
妖城在线论坛; R7 T5 ~: v: w, L9 H4 A
RECV原函数头汇编码如下魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表+ M, [. X2 V3 o6 B
MOV EDI,EDI
PUSH EBP—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート! ^' Z6 J: A# j/ A' N
MOV EBP,ESP

这就是被修改的5字节原汇编码魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表4 I' r4 B. e7 s5 D: @  ]4 P
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表4 ?7 A. V7 O6 [9 H# X6 T3 ~6 g1 x9 c
下面添加JMP命令调回去原函数
jmp 71a42e75魔力私服,最新魔力宝贝私服技术交流/ r( o. @# K0 B1 {4 e! {
把原函数头以及JMP命令写入513135内存中

这个地址的具体16进制代码忘记记录下来了- -你们你自己转换了
魔力私服,最新魔力宝贝私服技术交流* B0 o: o! Y$ P" X% `; _
修改的代码从1000f287开始0 |- X) c& ]2 u, z# q

修改为8B FF 55 8B EC E9 E4 38 A3 61
然后从1000fc91-fca6全部都是90妖城在线论坛6 P. a4 C% f9 G. i( E% r9 ~, h

这样修改后,反挂在接受封包RECV函数中所做的所有判定全部无效了魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表  l, q+ J$ B$ t1 a& t  L
/ k1 N; p6 }/ u0 p( T
第八个HOOK--DbgUiRemoteBreakin--OD调试所需函数--7C97211C
1 _/ T% P' u3 M* Mbbs.mocwww.com同RECV,有矫正,不可恢复bbs.mocwww.com$ S* G2 I8 K7 c; [$ Q7 J& E7 o- b

内存地址---10006CA8
修改方法:(由于此HOOK纯属破坏函数,所以修复的字节会比较多)
E9 85 C4 50 F0
内存地址---513135魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表5 l2 f6 P+ P! D# |6 @  l, u, R
6A 08 68 68 21 97 7C E8 A3 C7 FB FF 64 A1 18 00 00 00 E9 E2 EF 45 7C

这里申明一下,为啥这里修改不像前面一样在DLL内存空间里面修改,DLL内存空间的汇编码如下魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表  E5 f* u- x6 T( ~( u
push esi
push edi魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表! [( i) J1 }% H5 Y
push ebx
CALL 地址忘记了- -
pop ebx魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表  e. g. {/ e+ V6 |8 P/ ^
pop edi妖城在线论坛! \7 S1 p9 [+ [0 g1 X/ a) |
pop esi
ret 0010bbs.mocwww.com# B) T; v/ m" l" Z2 A. t' a

push是压入数据于指定寄存器,而POP则是清除寄存器数据,两者对应的就是为了CALL完函数后所做的堆栈平衡,如果在这里直接修改,堆栈不平衡直接导致游戏崩溃妖城在线论坛' {, |, ]4 r1 M( ?8 z

而CALL命令所需字节是5字节,刚好可以写个JMP,所以修改方法就有点复杂了
妖城在线论坛: i* s2 ^4 L% v) v3 q
至此函数已全部修复,但HOOK绝对没有动,矫正不出来,OD可以正常加载CG了: C! D( }) n1 X4 ]6 c

第九个HOOK--LoadLibraryExW--加载外部DLL所需函数--7C801AF5
同RECV,有矫正,不可恢复魔力私服,最新魔力宝贝私服技术交流: l8 p5 u0 W( G6 G
内存地址---10006C7D---居然破坏了8条函数头指令- -蛋疼
6A 34 68 F8 E0 80 7C E8 D5 09 00 00 33 FF 89 7D D8 89 7D D4 89 7D E0 89 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表  R' F9 }. I% e( k1 o
7D E4 8B 5D 10 E9 73 AE 7F 6C 90 90 90 90 90 90 90 90 90魔力私服,最新魔力宝贝私服技术交流- F+ N. K6 z! I6 s2 }
至此函数已全部修复,但HOOK绝对没有动,矫正不出来,外部DLL可正常加载,且本身—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート: }  A  a: F( ?$ P& `: h( E$ @
验证函数调用信息的判断已被破坏
妖城在线论坛6 w- c; ?6 G3 ^$ v
第十个HOOK--SEND--发送数据的函数(封包二次加密也在这里面了)--71A24C27妖城在线论坛: U" g1 a- d7 L% N
不可恢复,由于有二次加密,如恢复则直接断线
看看跳转处汇编码~~
cgx_e7ml.dll+EE94 - 56                   - push esi魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表: Q6 L* N1 y! [: ?# x
cgx_e7ml.dll+EE95 - 57                   - push edi
cgx_e7ml.dll+EE96 - 53                   - push ebx
cgx_e7ml.dll+EE97 - 8D 74 24 10          - lea esi,[esp+10]魔力私服,最新魔力宝贝私服技术交流. C: T! E. ^; G2 q
cgx_e7ml.dll+EE9B - 83 EC 10             - sub esp,10魔力私服,最新魔力宝贝私服技术交流4 P* R5 J4 x' V$ P
cgx_e7ml.dll+EE9E - 8B FC                - mov edi,esp
cgx_e7ml.dll+EEA0 - FC                   - cld
cgx_e7ml.dll+EEA1 - B9 04000000          - mov ecx,00000004魔力私服,最新魔力宝贝私服技术交流/ C3 y4 i; i2 e$ G1 X& A. V% K
cgx_e7ml.dll+EEA6 - F3 A5                - repe movsd
cgx_e7ml.dll+EEA8 - E8 69F7FFFF          - call cgx_e7ml.dll+E616
cgx_e7ml.dll+EEAD - 5B                   - pop ebx
cgx_e7ml.dll+EEAE - 5F                   - pop edi
cgx_e7ml.dll+EEAF - 5E                   - pop esi
cgx_e7ml.dll+EEB0 - C2 1000             - ret 0010
bbs.mocwww.com1 P) ~  o# ^- |6 T: x: f
RET 10~~还是4参数~符合SEND函数的参数定义

参数一:套接字
参数二:封包内容指针
参数三:封包长度
参数四:FLAG=0

理论上PUSH这四个参数,然后CALL加密函数地址1000E616就可以调用他的加密函数
来发包了- -未看具体加密细节~也未测试这个CALL有效性

一晚上写这玩意好累~最后的SEND分析就迟点再出吧- -

并非秀技能~正如某人所言~这个可能也是没有技术含量~小白慢慢学~我承认我是小白哈~

bbs.mocwww.com7 U3 J0 n e( n* `. X4 E
[ 本帖最后由 HOHO 于 2013-12-11 00:46 编辑 ]

作者: HOHO 时间: 2013-12-11 00:46

惯例是自己的~~

作者: nj001 时间: 2013-12-11 07:43

虽然还看不懂，但是好厉害哟

作者: 小狐狸 时间: 2013-12-11 18:30

有好东西就继续发。。。。

作者: vklovevk 时间: 2013-12-12 16:58

出个视频就好了！！！！

作者: nijiechao 时间: 2015-8-27 18:08

出个视频

欢迎光临妖城在线论坛 (http://bbs.mocwww.com/)