[讨论] CG-X-SEVER反挂分析(带破解--全汇编)

HOHO

妖使

Rank: 3 Rank: 3 Rank: 3

UID: 3805
精华: 2
积分: 1073
威望: 0 度

阁楼大中小发表于 2013-12-11 00:41 显示全部帖子

CG-X-SEVER反挂分析(带破解--全汇编)

使用软件XueTr和CE6.4驱动版
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表4 h8 `6 z$ P( O2 G! V
启动游戏后一共有十个HOOK~—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート  B% ]4 K! V! m# F' S2 W. h5 i

无驱动

一个个HOOK来搞吧- -

第一个HOOK--地址004db520$ ~: p0 q5 S$ @1 b
处理方法魔力私服,最新魔力宝贝私服技术交流7 T% @$ i$ i3 k' }1 J  H9 f9 m3 \% G
内存地址---004db55d魔力私服,最新魔力宝贝私服技术交流9 r+ a, x7 U- Y! e. u: T5 g
修改为6A 00 EB D8 02 00 00

第二个HOOK--地址004db566bbs.mocwww.com# \" U6 p8 j$ r
处理方法+ i6 i+ H' M( s1 A  @5 O1 l
内存地址---004db696) C& i" b1 K3 w& n( ~% [6 Z8 l
修改为50 68 01 01 00 00 89 35 98 07 c3 00 E8 ED 26 E9 CB FE FF FF 90 90 - Z  R3 G* {; t  w; V0 Q( D/ U
90 90 90 90 90 一直到4db68f都是90

第三个HOOK--地址004e1fe8
/ _3 ]0 J0 q8 p# `: u/ O4 Z处理方法魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表+ P' `% J4 S2 _" @/ Y$ \9 w! W$ Q
内存地址---00163905—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート5 O+ d2 \3 A8 g( _2 y1 U
修改为---A0 50 53 C3 00 E9 E3 E6 37 00 90 90

第四个HOOK--地址004e20a0魔力私服,最新魔力宝贝私服技术交流1 U& J' q% U) `4 M3 Z, J4 e
处理方法魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表1 d& e' o; ?. o, F4 b5 q2 l# L
内存地址---001638B8bbs.mocwww.com  P0 \5 w- S) |  ?, F
修改为---A0 08 4F C3 00 E9 E3 E7 37 00 90 90
+ }' m2 y9 P! K6 Z1 S
以上4个HOOK都是和DLL无关连的~其实可以直接恢复HOOK,按照以上操作可以在不恢复HOOK的情况下让函数还原bbs.mocwww.com# @5 I  j% V. ~. E# V8 R. y

第五个HOOK--地址00433180魔力私服,最新魔力宝贝私服技术交流: e0 W* f6 m. y1 X; S$ l
处理方法魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表6 B2 v2 E* K/ v. M, X% v( D
内存地址---10006cc3
修改为---90 90 90 90 90妖城在线论坛. r1 m. c% |2 s; q# g6 K

这个HOOK代码里面有个CALL会跳到DLL另一地址,如果不修改直接恢复,HOOK也会存在,但游戏不会崩,后验证其实此HOOK是图档相关的修复,可不理会

第六个HOOK--WSOCK32中RECV--地址71a42e70
9 N/ r$ b' \! T) p# [+ [bbs.mocwww.com第七个HOOK--WS2_32中的RECV--地址71A2676F

WSOCK32.recv - E9 12C45C9E          - jmp cgx_e7ml.dll+F287魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表8 O! w6 Y8 V% m1 B5 |
WSOCK32.recv+5- 51                   - push ecx
WSOCK32.recv+6- 51                   - push ecx0 X. L/ p% y8 U& o( J8 @6 l, l9 s
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表! Z" c: M& d. s$ H* A  Y4 Y$ P- C/ {
RECV函数头被修改前5字节,改为了JMP命令' y6 i. _. J) i6 b! R

这里我们不能动这5字节,因为有矫正,只要改了或者恢复了,会掉线的妖城在线论坛" B( E6 Y6 ]+ d* b1 u; }1 Q
妖城在线论坛" |7 [- R! X8 L8 Z8 i/ H% T8 w
那我们只能修改他跳转地址中的代码了—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート4 ]" h' ~  [. J4 `5 W6 p2 B0 p& x
妖城在线论坛/ w! x% g9 w' e) @# ]
以上两个HOOK都被指向同一个地址1000f287魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表0 `& E2 C3 M8 S& U4 o6 |
bbs.mocwww.com& n, [" K: b) Z
cgx_e7ml.dll+F287 - 56                   - push esi
cgx_e7ml.dll+F288 - 57                   - push edi# I2 m) w5 q3 H$ I$ }0 @
cgx_e7ml.dll+F289 - 53                   - push ebx
cgx_e7ml.dll+F28A - 8D 74 24 10          - lea esi,[esp+10]
cgx_e7ml.dll+F28E - 83 EC 10             - sub esp,10
cgx_e7ml.dll+F291 - 8B FC                - mov edi,esp妖城在线论坛, B* A: _! H3 B! T$ E" T. m
cgx_e7ml.dll+F293 - FC                   - cld 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表  G0 u9 u/ G" E0 w" c
cgx_e7ml.dll+F294 - B9 04000000          - mov ecx,00000004
cgx_e7ml.dll+F299 - F3 A5                - repe movsd
cgx_e7ml.dll+F29B - E8 F2FDFFFF          - call cgx_e7ml.dll+F092+ M6 d$ B( Y- L& H9 s2 n
cgx_e7ml.dll+F2A0 - 5B                   - pop ebx6 Y5 g+ r, v  S4 X+ |% {, {
cgx_e7ml.dll+F2A1 - 5F                   - pop edi魔力私服,最新魔力宝贝私服技术交流* S/ m3 y0 ?4 Z1 I  i$ T
cgx_e7ml.dll+F2A2 - 5E                   - pop esi
cgx_e7ml.dll+F2A3 - C2 1000             - ret 0010

RET 10--函数调用有4参数~具体代码我就不解释了,我告诉你怎么改bbs.mocwww.com0 |$ E: B5 C; s. s+ D5 E$ H, Q5 J

RECV原函数头汇编码如下
MOV EDI,EDIbbs.mocwww.com6 c0 r) F1 x! X7 G
PUSH EBP6 |% I) ~* ]# P
MOV EBP,ESP魔力私服,最新魔力宝贝私服技术交流$ X3 @$ I# a7 A" Q5 B) B

这就是被修改的5字节原汇编码

下面添加JMP命令调回去原函数bbs.mocwww.com  G! k2 z( [6 m: Y/ q
jmp 71a42e75魔力私服,最新魔力宝贝私服技术交流6 J4 I* Y2 V& R, L3 E( K
把原函数头以及JMP命令写入513135内存中妖城在线论坛, V; h6 T8 |! _

这个地址的具体16进制代码忘记记录下来了- -你们你自己转换了

修改的代码从1000f287开始妖城在线论坛9 e, _2 J/ E- I+ h' O
bbs.mocwww.com+ h7 A5 w0 z. t/ }9 S
修改为8B FF 55 8B EC E9 E4 38 A3 61—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート, Z0 M0 o# I1 a5 q, Y, n- s2 ^
然后从1000fc91-fca6全部都是90

这样修改后,反挂在接受封包RECV函数中所做的所有判定全部无效了
bbs.mocwww.com! g6 v1 \  H% g7 I
第八个HOOK--DbgUiRemoteBreakin--OD调试所需函数--7C97211C
$ Y7 n  N! K) G1 L妖城在线论坛同RECV,有矫正,不可恢复

内存地址---10006CA8
修改方法:(由于此HOOK纯属破坏函数,所以修复的字节会比较多)
E9 85 C4 50 F0
内存地址---513135—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート) y, v+ h. Z# `/ }0 t
6A 08 68 68 21 97 7C E8 A3 C7 FB FF 64 A1 18 00 00 00 E9 E2 EF 45 7C

这里申明一下,为啥这里修改不像前面一样在DLL内存空间里面修改,DLL内存空间的汇编码如下
push esibbs.mocwww.com7 W8 e: q6 G" Z% K8 N8 \
push edi—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート1 B/ ?% o$ k, f1 }# L# o) C  q; A
push ebx
CALL 地址忘记了- -
pop ebx妖城在线论坛9 S, a- @( X; R; i: f
pop edi; F* }/ q+ R6 p
pop esi& ]6 j9 N4 P# x2 f  q- I
ret 0010bbs.mocwww.com0 I( [2 G2 i6 q

push是压入数据于指定寄存器,而POP则是清除寄存器数据,两者对应的就是为了CALL完函数后所做的堆栈平衡,如果在这里直接修改,堆栈不平衡直接导致游戏崩溃魔力私服,最新魔力宝贝私服技术交流8 B2 ~5 ^7 a6 }4 ^3 `, _$ j1 S

而CALL命令所需字节是5字节,刚好可以写个JMP,所以修改方法就有点复杂了bbs.mocwww.com7 @2 K  J1 W- b' N7 V8 Y% n% J2 l! \

至此函数已全部修复,但HOOK绝对没有动,矫正不出来,OD可以正常加载CG了魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表6 t. A, ^/ c" I) A0 u7 T

第九个HOOK--LoadLibraryExW--加载外部DLL所需函数--7C801AF5
同RECV,有矫正,不可恢复
内存地址---10006C7D---居然破坏了8条函数头指令- -蛋疼
6A 34 68 F8 E0 80 7C E8 D5 09 00 00 33 FF 89 7D D8 89 7D D4 89 7D E0 89 bbs.mocwww.com# u6 k5 W9 [9 P- H! }. i4 |
7D E4 8B 5D 10 E9 73 AE 7F 6C 90 90 90 90 90 90 90 90 908 c+ p1 n, W0 k6 U, v: ]
至此函数已全部修复,但HOOK绝对没有动,矫正不出来,外部DLL可正常加载,且本身
验证函数调用信息的判断已被破坏妖城在线论坛! I' t) P  B, E& p

第十个HOOK--SEND--发送数据的函数(封包二次加密也在这里面了)--71A24C27$ [6 z. ~1 p3 t/ \) G: p' M
不可恢复,由于有二次加密,如恢复则直接断线
看看跳转处汇编码~~
cgx_e7ml.dll+EE94 - 56                   - push esibbs.mocwww.com, t& P$ E/ Z- a
cgx_e7ml.dll+EE95 - 57                   - push edi妖城在线论坛0 b2 H( w( x: R, Y+ A5 z& U5 Z
cgx_e7ml.dll+EE96 - 53                   - push ebx魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表% Q. \' H7 Z, V4 _- G: w4 r
cgx_e7ml.dll+EE97 - 8D 74 24 10          - lea esi,[esp+10]
cgx_e7ml.dll+EE9B - 83 EC 10             - sub esp,10bbs.mocwww.com) y- K. ?# E9 o- Y; e: J1 b$ @
cgx_e7ml.dll+EE9E - 8B FC                - mov edi,esp—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート& _. J. ~; ?( R$ ?* W) |! M
cgx_e7ml.dll+EEA0 - FC                   - cld
cgx_e7ml.dll+EEA1 - B9 04000000          - mov ecx,00000004
cgx_e7ml.dll+EEA6 - F3 A5                - repe movsd bbs.mocwww.com+ s" B* R9 |9 B
cgx_e7ml.dll+EEA8 - E8 69F7FFFF          - call cgx_e7ml.dll+E616
cgx_e7ml.dll+EEAD - 5B                   - pop ebx
cgx_e7ml.dll+EEAE - 5F                   - pop edi魔力私服,最新魔力宝贝私服技术交流9 b# b. x( c7 V
cgx_e7ml.dll+EEAF - 5E                   - pop esi
cgx_e7ml.dll+EEB0 - C2 1000             - ret 0010
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表% a+ E% y2 G3 a$ [' {$ ^( G
RET 10~~还是4参数~符合SEND函数的参数定义
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表$ G! h+ e1 W" O5 R0 u- s) R: _9 m
参数一:套接字
参数二:封包内容指针魔力私服,最新魔力宝贝私服技术交流9 r' O9 u' R# a3 p
参数三:封包长度魔力私服,最新魔力宝贝私服技术交流2 c# n. v% c0 {& P& @3 l7 ]
参数四:FLAG=0—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート4 F5 p$ m6 m) f5 u" y$ a; }

理论上PUSH这四个参数,然后CALL加密函数地址1000E616就可以调用他的加密函数妖城在线论坛4 o8 I3 Y* H% M0 M/ q
来发包了- -未看具体加密细节~也未测试这个CALL有效性2 J' _) D3 j# S% N3 J
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表+ p6 ~" S' U! q% k
一晚上写这玩意好累~最后的SEND分析就迟点再出吧- -—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート6 ~7 j& _- Z' T1 G0 b8 {6 N

并非秀技能~正如某人所言~这个可能也是没有技术含量~小白慢慢学~我承认我是小白哈~

魔力私服,最新魔力宝贝私服技术交流0 z& w Q% p* n3 `" a; Q
[ 本帖最后由 HOHO 于 2013-12-11 00:46 编辑 ]

本帖最近评分记录

全熟牛排溅血妖力 +10 2013-12-13 19:25

驱动版反挂
需要直接联系QQ：368333211
加好友请说明来意

TOP

HOHO

妖使

Rank: 3 Rank: 3 Rank: 3

UID: 3805
精华: 2
积分: 1073
威望: 0 度

沙发大中小发表于 2013-12-11 00:46 显示全部帖子

惯例是自己的~~

驱动版反挂
需要直接联系QQ：368333211
加好友请说明来意

TOP

‹‹ 上一主题 | 下一主题 ››