妖城在线论坛 - Powered by Discuz! Board

标题: [讨论] CG-X-SEVER反挂分析(带破解--全汇编) [打印本页]

作者: HOHO 时间: 2013-12-11 00:41 标题: CG-X-SEVER反挂分析(带破解--全汇编)

使用软件XueTr和CE6.4驱动版
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表8 G# Y. @1 v7 O6 [. X% T
启动游戏后一共有十个HOOK~—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート$ g# m; ]& t; Z. h( A

无驱动2 ^* Z2 J' ^8 K9 U8 ?

一个个HOOK来搞吧- -bbs.mocwww.com0 P: T4 Q0 P) R) ~$ N2 n0 n
9 v' `$ [5 j2 X, u2 y7 y/ X* b
第一个HOOK--地址004db520bbs.mocwww.com: \/ c6 t2 ^) v4 c8 N; N  J
处理方法
内存地址---004db55d
修改为6A 00 EB D8 02 00 00

第二个HOOK--地址004db566—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート; E+ v' H' k( E" j9 e
处理方法
内存地址---004db696魔力私服,最新魔力宝贝私服技术交流* \0 c3 t  l& u: U% D$ d* E! Y
修改为50 68 01 01 00 00 89 35 98 07 c3 00 E8 ED 26 E9 CB FE FF FF 90 90
90 90 90 90 90 一直到4db68f都是90
妖城在线论坛% ]: @6 q; t2 w$ U8 z# S
第三个HOOK--地址004e1fe8魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表/ @9 Q, q5 e3 O, ?8 x
处理方法妖城在线论坛1 k$ w/ w" [9 d# i8 d# L
内存地址---00163905
修改为---A0 50 53 C3 00 E9 E3 E6 37 00 90 90

第四个HOOK--地址004e20a0魔力私服,最新魔力宝贝私服技术交流5 p) W8 \) J# n
处理方法魔力私服,最新魔力宝贝私服技术交流& ~7 s& D7 s( ?9 d$ \
内存地址---001638B8魔力私服,最新魔力宝贝私服技术交流  t  U) s  @4 }0 a/ s4 E
修改为---A0 08 4F C3 00 E9 E3 E7 37 00 90 90—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート3 E$ O+ N% O9 u$ T7 I

以上4个HOOK都是和DLL无关连的~其实可以直接恢复HOOK,按照以上操作可以在不恢复HOOK的情况下让函数还原魔力私服,最新魔力宝贝私服技术交流5 U# H$ z' B+ |$ H  v- E/ r
妖城在线论坛* v5 w8 _/ T8 `' o6 _& ?
第五个HOOK--地址00433180魔力私服,最新魔力宝贝私服技术交流* q$ ]1 ~, ]! {
处理方法bbs.mocwww.com* ?2 u2 x$ j6 E2 H9 W4 B- C
内存地址---10006cc3
修改为---90 90 90 90 90- p- q* E/ Q! b

这个HOOK代码里面有个CALL会跳到DLL另一地址,如果不修改直接恢复,HOOK也会存在,但游戏不会崩,后验证其实此HOOK是图档相关的修复,可不理会
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表, l/ m5 g1 M+ `, @3 w4 J9 ?0 A* v
第六个HOOK--WSOCK32中RECV--地址71a42e70魔力私服,最新魔力宝贝私服技术交流! g; ^0 k8 S( V4 {5 c6 P6 j; F
第七个HOOK--WS2_32中的RECV--地址71A2676F

WSOCK32.recv - E9 12C45C9E          - jmp cgx_e7ml.dll+F287
WSOCK32.recv+5- 51                   - push ecx
WSOCK32.recv+6- 51                   - push ecx—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート/ q+ b  X" `# t1 n; J

RECV函数头被修改前5字节,改为了JMP命令
魔力私服,最新魔力宝贝私服技术交流) ]: l6 c, Z' B" C# N- a
这里我们不能动这5字节,因为有矫正,只要改了或者恢复了,会掉线的
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表  x/ M! [$ [$ v, Z$ K, S
那我们只能修改他跳转地址中的代码了魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表( x8 }! w: s. Y; ?! Y& M8 x5 l

以上两个HOOK都被指向同一个地址1000f287
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表6 ?: L, s. l) j6 A
cgx_e7ml.dll+F287 - 56                   - push esi
cgx_e7ml.dll+F288 - 57                   - push edi魔力私服,最新魔力宝贝私服技术交流( a7 u; v: ~3 Q4 t' t* B5 T! `
cgx_e7ml.dll+F289 - 53                   - push ebx
cgx_e7ml.dll+F28A - 8D 74 24 10          - lea esi,[esp+10]魔力私服,最新魔力宝贝私服技术交流* m* [& R  o4 g! x) w+ V4 y
cgx_e7ml.dll+F28E - 83 EC 10             - sub esp,10bbs.mocwww.com4 P9 S1 a9 S! c5 D$ ^
cgx_e7ml.dll+F291 - 8B FC                - mov edi,esp—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート9 U+ ^* j( b$ v0 f# S
cgx_e7ml.dll+F293 - FC                   - cld bbs.mocwww.com( q7 d: L( j, @5 T8 z6 X
cgx_e7ml.dll+F294 - B9 04000000          - mov ecx,00000004
cgx_e7ml.dll+F299 - F3 A5                - repe movsd ( Q2 ^( }" T+ ?: _
cgx_e7ml.dll+F29B - E8 F2FDFFFF          - call cgx_e7ml.dll+F092
cgx_e7ml.dll+F2A0 - 5B                   - pop ebx! E( r5 M+ i, e# s+ e+ ?
cgx_e7ml.dll+F2A1 - 5F                   - pop edi, }3 |- c/ Y9 y5 N# e& g& {
cgx_e7ml.dll+F2A2 - 5E                   - pop esi
cgx_e7ml.dll+F2A3 - C2 1000             - ret 0010bbs.mocwww.com# {, ?0 g  _2 i$ b7 _/ X# G' |  o
: F( I- y' Z- S* f1 ], o9 S6 E
RET 10--函数调用有4参数~具体代码我就不解释了,我告诉你怎么改妖城在线论坛# R* y: J, x7 Q8 s7 [$ T
妖城在线论坛$ o6 ]* N3 s3 B* r3 U% B6 K
RECV原函数头汇编码如下—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート( u9 Q0 p. R9 A2 a# `
MOV EDI,EDI
PUSH EBP
MOV EBP,ESP

这就是被修改的5字节原汇编码
魔力私服,最新魔力宝贝私服技术交流* O' q7 p. v- n8 }
下面添加JMP命令调回去原函数魔力私服,最新魔力宝贝私服技术交流+ v# i  I3 }2 T; ?1 {
jmp 71a42e75: x9 x* B" Y) \$ D9 U
把原函数头以及JMP命令写入513135内存中

这个地址的具体16进制代码忘记记录下来了- -你们你自己转换了

修改的代码从1000f287开始—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート, X( `" ~0 `5 X/ j. l

修改为8B FF 55 8B EC E9 E4 38 A3 61
然后从1000fc91-fca6全部都是90
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート: J7 j) G8 i! Q
这样修改后,反挂在接受封包RECV函数中所做的所有判定全部无效了魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表0 w6 }5 Y3 T( ~1 J# [+ Z

第八个HOOK--DbgUiRemoteBreakin--OD调试所需函数--7C97211C
同RECV,有矫正,不可恢复
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表% W) L% c  a: C8 S2 c' z8 W
内存地址---10006CA8妖城在线论坛5 k( Y5 B* P. e) T. m& A& p( l
修改方法:(由于此HOOK纯属破坏函数,所以修复的字节会比较多)
E9 85 C4 50 F0
内存地址---513135魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表0 r0 X$ M+ ^  y" b3 j
6A 08 68 68 21 97 7C E8 A3 C7 FB FF 64 A1 18 00 00 00 E9 E2 EF 45 7Cbbs.mocwww.com4 Y% f# A/ K0 I& X5 T

这里申明一下,为啥这里修改不像前面一样在DLL内存空间里面修改,DLL内存空间的汇编码如下
push esi
push edibbs.mocwww.com2 m- X* |! u' s+ v; r( M/ @
push ebx
CALL 地址忘记了- -
pop ebx
pop edi妖城在线论坛  I8 T% ^" m8 [) G
pop esi
ret 0010bbs.mocwww.com. I* p! \0 e) h$ g; Z  \/ e  y

push是压入数据于指定寄存器,而POP则是清除寄存器数据,两者对应的就是为了CALL完函数后所做的堆栈平衡,如果在这里直接修改,堆栈不平衡直接导致游戏崩溃$ z/ E8 J( F4 ^7 c% E$ M0 M) H

而CALL命令所需字节是5字节,刚好可以写个JMP,所以修改方法就有点复杂了魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表3 ^7 N( q- x0 B3 r

至此函数已全部修复,但HOOK绝对没有动,矫正不出来,OD可以正常加载CG了

第九个HOOK--LoadLibraryExW--加载外部DLL所需函数--7C801AF5魔力私服,最新魔力宝贝私服技术交流- p$ E3 f  L* P5 Q, T) i. i$ x4 d
同RECV,有矫正,不可恢复
内存地址---10006C7D---居然破坏了8条函数头指令- -蛋疼魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表( k) q( @2 \" A! V2 Q
6A 34 68 F8 E0 80 7C E8 D5 09 00 00 33 FF 89 7D D8 89 7D D4 89 7D E0 89
7D E4 8B 5D 10 E9 73 AE 7F 6C 90 90 90 90 90 90 90 90 90魔力私服,最新魔力宝贝私服技术交流6 a& I- |! h# {2 l6 V
至此函数已全部修复,但HOOK绝对没有动,矫正不出来,外部DLL可正常加载,且本身妖城在线论坛6 C' T3 ~. s' E1 b* ?! s
验证函数调用信息的判断已被破坏魔力私服,最新魔力宝贝私服技术交流( S/ K4 {: j" h
bbs.mocwww.com' W9 z! m6 R; a; |- F% e* a. g
第十个HOOK--SEND--发送数据的函数(封包二次加密也在这里面了)--71A24C27bbs.mocwww.com* l$ U0 ]" A. E3 T/ X1 [% o3 _/ ?$ z
不可恢复,由于有二次加密,如恢复则直接断线
看看跳转处汇编码~~妖城在线论坛. `3 L( a3 U* c! r3 H
cgx_e7ml.dll+EE94 - 56                   - push esi魔力私服,最新魔力宝贝私服技术交流( R" J9 ~3 G  k' W' T  V
cgx_e7ml.dll+EE95 - 57                   - push edi. v) v1 H  D! r$ j8 E
cgx_e7ml.dll+EE96 - 53                   - push ebx
cgx_e7ml.dll+EE97 - 8D 74 24 10          - lea esi,[esp+10]
cgx_e7ml.dll+EE9B - 83 EC 10             - sub esp,10
cgx_e7ml.dll+EE9E - 8B FC                - mov edi,esp
cgx_e7ml.dll+EEA0 - FC                   - cld 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表) Y; d; G7 Z* ^8 _: v1 ~/ r
cgx_e7ml.dll+EEA1 - B9 04000000          - mov ecx,00000004—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート# S$ m. T7 z3 H4 C6 Y+ h
cgx_e7ml.dll+EEA6 - F3 A5                - repe movsd
cgx_e7ml.dll+EEA8 - E8 69F7FFFF          - call cgx_e7ml.dll+E616—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート6 h8 D8 E4 S' E7 {8 o7 \
cgx_e7ml.dll+EEAD - 5B                   - pop ebx
cgx_e7ml.dll+EEAE - 5F                   - pop edi
cgx_e7ml.dll+EEAF - 5E                   - pop esibbs.mocwww.com8 b/ m3 W$ ]9 Q3 V3 F4 y
cgx_e7ml.dll+EEB0 - C2 1000             - ret 0010
3 N" t' |% y) |7 F# A2 s/ Q
RET 10~~还是4参数~符合SEND函数的参数定义

参数一:套接字
参数二:封包内容指针魔力私服,最新魔力宝贝私服技术交流3 h) j! }; m/ N$ n( w
参数三:封包长度魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表- m1 u5 u/ P4 _. c/ Z1 F4 k2 J
参数四:FLAG=0妖城在线论坛. C8 v! ]! C1 s2 @' o
魔力私服,最新魔力宝贝私服技术交流0 e& p6 A2 q3 M8 w# r# i
理论上PUSH这四个参数,然后CALL加密函数地址1000E616就可以调用他的加密函数
来发包了- -未看具体加密细节~也未测试这个CALL有效性

一晚上写这玩意好累~最后的SEND分析就迟点再出吧- -% l- e' N( s  d8 x6 i3 l" k
bbs.mocwww.com( Y2 `) n0 c" W/ v6 ^* G$ I" w: _
并非秀技能~正如某人所言~这个可能也是没有技术含量~小白慢慢学~我承认我是小白哈~

[ 本帖最后由 HOHO 于 2013-12-11 00:46 编辑 ]

作者: HOHO 时间: 2013-12-11 00:46

惯例是自己的~~

作者: nj001 时间: 2013-12-11 07:43

虽然还看不懂，但是好厉害哟

作者: 小狐狸 时间: 2013-12-11 18:30

有好东西就继续发。。。。

作者: vklovevk 时间: 2013-12-12 16:58

出个视频就好了！！！！

作者: nijiechao 时间: 2015-8-27 18:08

出个视频

欢迎光临妖城在线论坛 (http://bbs.mocwww.com/)