妖城在线论坛 - Powered by Discuz! Board

标题: [讨论] CG-X-SEVER反挂分析(带破解--全汇编) [打印本页]

作者: HOHO 时间: 2013-12-11 00:41 标题: CG-X-SEVER反挂分析(带破解--全汇编)

使用软件XueTr和CE6.4驱动版

启动游戏后一共有十个HOOK~
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表& m' s; B: U& R3 p
无驱动

一个个HOOK来搞吧- -

第一个HOOK--地址004db520
处理方法bbs.mocwww.com5 W0 I3 d" {/ Y5 S
内存地址---004db55d
修改为6A 00 EB D8 02 00 00—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート* [  H* [: \+ X  }

第二个HOOK--地址004db566魔力私服,最新魔力宝贝私服技术交流; C% H  u! [: b( l3 @1 d
处理方法
内存地址---004db696
修改为50 68 01 01 00 00 89 35 98 07 c3 00 E8 ED 26 E9 CB FE FF FF 90 90 bbs.mocwww.com( u. ]0 c2 B! p5 q7 h
90 90 90 90 90 一直到4db68f都是90

第三个HOOK--地址004e1fe8
处理方法bbs.mocwww.com; k3 V5 `  Z! s. ?; ^9 c& J
内存地址---00163905bbs.mocwww.com' f' g* j$ g9 U, ?. ?. ^8 |# F
修改为---A0 50 53 C3 00 E9 E3 E6 37 00 90 90妖城在线论坛% I- b* d4 k( B( m3 ~6 b

第四个HOOK--地址004e20a0
处理方法—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート+ K) l/ O8 o8 p" i0 J5 Y5 c
内存地址---001638B8
修改为---A0 08 4F C3 00 E9 E3 E7 37 00 90 90
妖城在线论坛, _- f$ O0 t$ e3 d: z
以上4个HOOK都是和DLL无关连的~其实可以直接恢复HOOK,按照以上操作可以在不恢复HOOK的情况下让函数还原
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート: W0 S0 C. g( u+ ^7 P  {- K
第五个HOOK--地址00433180
9 R- B4 \5 C& I- i: o4 bbbs.mocwww.com处理方法—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート& N8 u- W/ ?( Z' k
内存地址---10006cc3魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表0 K( e; w: t) c) v
修改为---90 90 90 90 90
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表# l, r+ N# Y- }8 K5 ?8 g* B
这个HOOK代码里面有个CALL会跳到DLL另一地址,如果不修改直接恢复,HOOK也会存在,但游戏不会崩,后验证其实此HOOK是图档相关的修复,可不理会

第六个HOOK--WSOCK32中RECV--地址71a42e70妖城在线论坛" G; o' O9 E, u: m
第七个HOOK--WS2_32中的RECV--地址71A2676F

WSOCK32.recv - E9 12C45C9E          - jmp cgx_e7ml.dll+F287妖城在线论坛% K" e* a* Q( |. b; v
WSOCK32.recv+5- 51                   - push ecx魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表: ^2 h$ }# W1 P
WSOCK32.recv+6- 51                   - push ecx

RECV函数头被修改前5字节,改为了JMP命令

这里我们不能动这5字节,因为有矫正,只要改了或者恢复了,会掉线的—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート" e3 a* n3 S( `. w9 j/ R
0 O# S- J8 ~6 u; N( _, Q
那我们只能修改他跳转地址中的代码了, ~, o2 V; m  G9 q2 n7 |$ N
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表% Q) k" @! |1 |$ L- ]- E* s
以上两个HOOK都被指向同一个地址1000f287魔力私服,最新魔力宝贝私服技术交流9 i$ g+ u; J  _; i! \/ N
魔力私服,最新魔力宝贝私服技术交流  S: E& E; ]; V; J/ L
cgx_e7ml.dll+F287 - 56                   - push esi魔力私服,最新魔力宝贝私服技术交流0 I# G# I1 j8 F3 W( _
cgx_e7ml.dll+F288 - 57                   - push edi
cgx_e7ml.dll+F289 - 53                   - push ebx
cgx_e7ml.dll+F28A - 8D 74 24 10          - lea esi,[esp+10]魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表- y/ m) u7 R$ K  L4 d5 p
cgx_e7ml.dll+F28E - 83 EC 10             - sub esp,10妖城在线论坛7 ^  }# ^2 r; ~2 ~
cgx_e7ml.dll+F291 - 8B FC                - mov edi,espbbs.mocwww.com7 s# t) d8 a) @( M( s/ N" W
cgx_e7ml.dll+F293 - FC                   - cld 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表5 d9 u3 s% G- X' S9 n
cgx_e7ml.dll+F294 - B9 04000000          - mov ecx,00000004妖城在线论坛! L. D( j- @) Z2 V, x$ t
cgx_e7ml.dll+F299 - F3 A5                - repe movsd 魔力私服,最新魔力宝贝私服技术交流$ I. m7 P$ O$ R' V- y1 |
cgx_e7ml.dll+F29B - E8 F2FDFFFF          - call cgx_e7ml.dll+F092魔力私服,最新魔力宝贝私服技术交流! P% s: ?; G8 t1 H( G# d& r' O; G
cgx_e7ml.dll+F2A0 - 5B                   - pop ebx
cgx_e7ml.dll+F2A1 - 5F                   - pop edi
cgx_e7ml.dll+F2A2 - 5E                   - pop esi妖城在线论坛1 I. e- j& J  ~8 A+ U! ^
cgx_e7ml.dll+F2A3 - C2 1000             - ret 0010魔力私服,最新魔力宝贝私服技术交流( T! J9 U) o8 \5 ]
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表$ q# Q. \9 B# [$ I# D- L
RET 10--函数调用有4参数~具体代码我就不解释了,我告诉你怎么改

RECV原函数头汇编码如下
MOV EDI,EDI# T. ]/ F* I, A
PUSH EBP魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表% [, y( h- ^& ~/ w7 b% E
MOV EBP,ESP

这就是被修改的5字节原汇编码

下面添加JMP命令调回去原函数bbs.mocwww.com/ D6 ]) T2 W0 u  M
jmp 71a42e75bbs.mocwww.com, V' e4 D, t( [. W1 [' D
把原函数头以及JMP命令写入513135内存中魔力私服,最新魔力宝贝私服技术交流5 E# _; z  ~& u9 H" S; G* S
魔力私服,最新魔力宝贝私服技术交流' K  O. a' {9 {( f% e* u6 q" Q( o
这个地址的具体16进制代码忘记记录下来了- -你们你自己转换了
妖城在线论坛& e2 c- z' t0 P
修改的代码从1000f287开始

修改为8B FF 55 8B EC E9 E4 38 A3 61
然后从1000fc91-fca6全部都是90—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート! g& F& `$ r2 _0 u
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート# b% @+ |6 @- p9 @
这样修改后,反挂在接受封包RECV函数中所做的所有判定全部无效了

第八个HOOK--DbgUiRemoteBreakin--OD调试所需函数--7C97211C
同RECV,有矫正,不可恢复

内存地址---10006CA8
修改方法:(由于此HOOK纯属破坏函数,所以修复的字节会比较多)—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート6 B& b. B9 m4 X" k
E9 85 C4 50 F0- t; S7 B4 r& T- E6 ?5 o) D5 t
内存地址---513135
6A 08 68 68 21 97 7C E8 A3 C7 FB FF 64 A1 18 00 00 00 E9 E2 EF 45 7C
+ A. a9 A% O( t6 a; b3 w2 X
这里申明一下,为啥这里修改不像前面一样在DLL内存空间里面修改,DLL内存空间的汇编码如下妖城在线论坛( g. o8 W2 v; E8 |$ Z  \
push esi
push edi魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表5 a( w9 p5 f5 p
push ebx
CALL 地址忘记了- -妖城在线论坛* z. F( E2 g5 C
pop ebx
pop edi妖城在线论坛& C. Y4 H% c: j" F
pop esi魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表$ G, o$ J& o# F8 u# s6 ]
ret 0010/ N9 ^0 K- m1 I' y% j

push是压入数据于指定寄存器,而POP则是清除寄存器数据,两者对应的就是为了CALL完函数后所做的堆栈平衡,如果在这里直接修改,堆栈不平衡直接导致游戏崩溃

而CALL命令所需字节是5字节,刚好可以写个JMP,所以修改方法就有点复杂了
bbs.mocwww.com; d6 z1 b: z  v' W1 c# i& m' s
至此函数已全部修复,但HOOK绝对没有动,矫正不出来,OD可以正常加载CG了

第九个HOOK--LoadLibraryExW--加载外部DLL所需函数--7C801AF5- J% t) N' {. [0 P1 r/ ~! T
同RECV,有矫正,不可恢复
内存地址---10006C7D---居然破坏了8条函数头指令- -蛋疼
6A 34 68 F8 E0 80 7C E8 D5 09 00 00 33 FF 89 7D D8 89 7D D4 89 7D E0 89
7D E4 8B 5D 10 E9 73 AE 7F 6C 90 90 90 90 90 90 90 90 90
至此函数已全部修复,但HOOK绝对没有动,矫正不出来,外部DLL可正常加载,且本身魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表5 N9 e5 K$ d$ W! d
验证函数调用信息的判断已被破坏

第十个HOOK--SEND--发送数据的函数(封包二次加密也在这里面了)--71A24C27
不可恢复,由于有二次加密,如恢复则直接断线
看看跳转处汇编码~~
cgx_e7ml.dll+EE94 - 56                   - push esi
cgx_e7ml.dll+EE95 - 57                   - push edi
cgx_e7ml.dll+EE96 - 53                   - push ebx
cgx_e7ml.dll+EE97 - 8D 74 24 10          - lea esi,[esp+10]
cgx_e7ml.dll+EE9B - 83 EC 10             - sub esp,10妖城在线论坛7 i" o5 N' X1 ^5 O& Q- H8 v$ l
cgx_e7ml.dll+EE9E - 8B FC                - mov edi,esp
cgx_e7ml.dll+EEA0 - FC                   - cld —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート& }0 X* {4 `- {) O
cgx_e7ml.dll+EEA1 - B9 04000000          - mov ecx,00000004
cgx_e7ml.dll+EEA6 - F3 A5                - repe movsd
cgx_e7ml.dll+EEA8 - E8 69F7FFFF          - call cgx_e7ml.dll+E616% B5 V6 n5 ?* h% z& E  t( R
cgx_e7ml.dll+EEAD - 5B                   - pop ebx魔力私服,最新魔力宝贝私服技术交流$ |# E- i$ w( T# T1 ?5 h+ j$ A
cgx_e7ml.dll+EEAE - 5F                   - pop edi; b5 |: f5 w8 n+ \
cgx_e7ml.dll+EEAF - 5E                   - pop esi—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート  }9 Z) v+ w- a3 s9 x
cgx_e7ml.dll+EEB0 - C2 1000             - ret 0010—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート/ a4 [# P* ^5 j' N8 H1 x+ k

RET 10~~还是4参数~符合SEND函数的参数定义

参数一:套接字—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート$ q7 W1 ]! d# j3 w/ \3 ?$ W7 A* w
参数二:封包内容指针—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート! J# `: I4 z7 i( P6 E4 P% Q
参数三:封包长度* q+ O! @- j/ z7 o# F2 {9 H7 C4 W
参数四:FLAG=0
妖城在线论坛( O; F+ }! w; z, E4 Z
理论上PUSH这四个参数,然后CALL加密函数地址1000E616就可以调用他的加密函数
来发包了- -未看具体加密细节~也未测试这个CALL有效性
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート8 k7 g: _# H! e- P. e. T
一晚上写这玩意好累~最后的SEND分析就迟点再出吧- -

并非秀技能~正如某人所言~这个可能也是没有技术含量~小白慢慢学~我承认我是小白哈~

妖城在线论坛8 ]% _3 d) e4 ~$ c @3 w8 r
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート, R' L' s- y0 d% {8 m% y) k6 {
[ 本帖最后由 HOHO 于 2013-12-11 00:46 编辑 ]

作者: HOHO 时间: 2013-12-11 00:46

惯例是自己的~~

作者: nj001 时间: 2013-12-11 07:43

虽然还看不懂，但是好厉害哟

作者: 小狐狸 时间: 2013-12-11 18:30

有好东西就继续发。。。。

作者: vklovevk 时间: 2013-12-12 16:58

出个视频就好了！！！！

作者: nijiechao 时间: 2015-8-27 18:08

出个视频

欢迎光临妖城在线论坛 (http://bbs.mocwww.com/)