[讨论] CG-X-SEVER反挂分析(带破解--全汇编)

HOHO

妖使

Rank: 3 Rank: 3 Rank: 3

UID: 3805
精华: 2
积分: 1073
威望: 0 度

阁楼大中小发表于 2013-12-11 00:41 显示全部帖子

CG-X-SEVER反挂分析(带破解--全汇编)

使用软件XueTr和CE6.4驱动版
bbs.mocwww.com5 c8 `* z/ H, ^$ |: N
启动游戏后一共有十个HOOK~
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表+ a/ U+ M4 K0 e3 r9 d6 F5 h
无驱动魔力私服,最新魔力宝贝私服技术交流: G0 z1 C8 Y2 x# ?, O

一个个HOOK来搞吧- -

第一个HOOK--地址004db520
处理方法
内存地址---004db55d—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート: _9 K" y/ d7 `  r7 p1 N
修改为6A 00 EB D8 02 00 00魔力私服,最新魔力宝贝私服技术交流0 x; z1 A1 g. o1 E5 `( |

第二个HOOK--地址004db566
% M$ ^; ?+ t" D/ f" tbbs.mocwww.com处理方法—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート" O0 G% j8 R0 t9 K7 V6 M- J
内存地址---004db696
修改为50 68 01 01 00 00 89 35 98 07 c3 00 E8 ED 26 E9 CB FE FF FF 90 90
90 90 90 90 90 一直到4db68f都是90
魔力私服,最新魔力宝贝私服技术交流# z, J9 f; U7 i! G; \3 I+ j
第三个HOOK--地址004e1fe8—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート4 I1 R: V) W. _; X
处理方法
内存地址---00163905
修改为---A0 50 53 C3 00 E9 E3 E6 37 00 90 90妖城在线论坛* N" E# K7 A2 X% t. r6 @
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート5 K* u% k! @1 B$ J; A( U4 B
第四个HOOK--地址004e20a0魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表7 j( s& w% T* H8 J7 Z  B9 G
处理方法妖城在线论坛) a+ @- A6 n/ O" Q$ B
内存地址---001638B8
修改为---A0 08 4F C3 00 E9 E3 E7 37 00 90 90魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表$ @" f* t: Q1 k( C

以上4个HOOK都是和DLL无关连的~其实可以直接恢复HOOK,按照以上操作可以在不恢复HOOK的情况下让函数还原
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート1 x  v  D7 u& l5 S6 W
第五个HOOK--地址00433180
处理方法魔力私服,最新魔力宝贝私服技术交流) X, v  W# a( B, y  C1 y
内存地址---10006cc3魔力私服,最新魔力宝贝私服技术交流, R! M" P1 _* X  D- K, `4 ~
修改为---90 90 90 90 90

这个HOOK代码里面有个CALL会跳到DLL另一地址,如果不修改直接恢复,HOOK也会存在,但游戏不会崩,后验证其实此HOOK是图档相关的修复,可不理会  l+ F( c  W# o
妖城在线论坛' [, |1 S% u! }: }. f
第六个HOOK--WSOCK32中RECV--地址71a42e70
第七个HOOK--WS2_32中的RECV--地址71A2676Fbbs.mocwww.com: N8 f' u% b: b3 F* B
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート% w  j3 C5 l, l
WSOCK32.recv - E9 12C45C9E          - jmp cgx_e7ml.dll+F287
WSOCK32.recv+5- 51                   - push ecxbbs.mocwww.com; E1 }# ^: z, i1 T
WSOCK32.recv+6- 51                   - push ecx妖城在线论坛/ M$ c9 c& ^2 @. l
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表* _" n2 @$ ?9 |& H5 ~
RECV函数头被修改前5字节,改为了JMP命令
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表) ?& @7 d. i) l- r2 \
这里我们不能动这5字节,因为有矫正,只要改了或者恢复了,会掉线的
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表! P0 Z# L! p6 f4 l5 b
那我们只能修改他跳转地址中的代码了
bbs.mocwww.com# W$ y  V: m5 j# {# J& t6 Y
以上两个HOOK都被指向同一个地址1000f2872 J; U2 U- x7 x5 A7 T& ~. @  D. p

cgx_e7ml.dll+F287 - 56                   - push esi/ C' K4 _% i4 ~) [5 i: K( q
cgx_e7ml.dll+F288 - 57                   - push edibbs.mocwww.com1 P. j$ {6 e6 m3 v9 F
cgx_e7ml.dll+F289 - 53                   - push ebx
cgx_e7ml.dll+F28A - 8D 74 24 10          - lea esi,[esp+10]—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート0 e3 m: O/ I- P. R
cgx_e7ml.dll+F28E - 83 EC 10             - sub esp,10# `) T) |' g( e/ Y5 a- T
cgx_e7ml.dll+F291 - 8B FC                - mov edi,esp
cgx_e7ml.dll+F293 - FC                   - cld
cgx_e7ml.dll+F294 - B9 04000000          - mov ecx,000000041 ]2 H8 r) R$ U7 I
cgx_e7ml.dll+F299 - F3 A5                - repe movsd : z8 n2 N( D5 M: |8 [
cgx_e7ml.dll+F29B - E8 F2FDFFFF          - call cgx_e7ml.dll+F092
cgx_e7ml.dll+F2A0 - 5B                   - pop ebx
cgx_e7ml.dll+F2A1 - 5F                   - pop edi
cgx_e7ml.dll+F2A2 - 5E                   - pop esi
cgx_e7ml.dll+F2A3 - C2 1000             - ret 0010bbs.mocwww.com3 P) W3 {+ Y& x
bbs.mocwww.com$ s* U' e  Z7 d4 L7 h& ]$ m8 K- K
RET 10--函数调用有4参数~具体代码我就不解释了,我告诉你怎么改

RECV原函数头汇编码如下+ h0 X/ R) S" D3 i
MOV EDI,EDI
PUSH EBP魔力私服,最新魔力宝贝私服技术交流4 V* T5 ~9 J! a
MOV EBP,ESP
bbs.mocwww.com2 R  L* X% W3 H# g( Q
这就是被修改的5字节原汇编码

下面添加JMP命令调回去原函数
jmp 71a42e753 L3 K( k0 Q( R2 y) R! `6 D/ a( n
把原函数头以及JMP命令写入513135内存中

这个地址的具体16进制代码忘记记录下来了- -你们你自己转换了bbs.mocwww.com0 s% V) Y3 K# c) _3 F+ e, R! ]

修改的代码从1000f287开始

修改为8B FF 55 8B EC E9 E4 38 A3 61—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート- H" M9 H& L1 M9 l) f
然后从1000fc91-fca6全部都是90
6 Z- w  {( r2 @9 g1 i0 _5 k
这样修改后,反挂在接受封包RECV函数中所做的所有判定全部无效了—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート4 l& @2 r. ?' _- O4 S# ~0 [* z  j

第八个HOOK--DbgUiRemoteBreakin--OD调试所需函数--7C97211C
同RECV,有矫正,不可恢复

内存地址---10006CA8; b0 G  M6 x7 N( i
修改方法:(由于此HOOK纯属破坏函数,所以修复的字节会比较多)
E9 85 C4 50 F0
内存地址---513135
6A 08 68 68 21 97 7C E8 A3 C7 FB FF 64 A1 18 00 00 00 E9 E2 EF 45 7C: D/ _; T) V# B! c8 c/ d- T/ k

这里申明一下,为啥这里修改不像前面一样在DLL内存空间里面修改,DLL内存空间的汇编码如下
push esi魔力私服,最新魔力宝贝私服技术交流: ^( T+ @" h" a8 i; c
push edi
push ebx
CALL 地址忘记了- -
pop ebx
pop edi妖城在线论坛+ ]4 j  L" n( O) H
pop esibbs.mocwww.com6 [+ s2 W* |4 s; i# L" P; y9 w+ W
ret 0010) b  f& L/ V; Y
bbs.mocwww.com' v3 `* ~) Z7 u
push是压入数据于指定寄存器,而POP则是清除寄存器数据,两者对应的就是为了CALL完函数后所做的堆栈平衡,如果在这里直接修改,堆栈不平衡直接导致游戏崩溃妖城在线论坛6 b5 K" S, d$ L: M9 _5 W! x0 P; t
魔力私服,最新魔力宝贝私服技术交流% P* Y" |5 E) `- z3 D3 a( E
而CALL命令所需字节是5字节,刚好可以写个JMP,所以修改方法就有点复杂了

至此函数已全部修复,但HOOK绝对没有动,矫正不出来,OD可以正常加载CG了
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート1 j/ o! T. I# R) W8 R
第九个HOOK--LoadLibraryExW--加载外部DLL所需函数--7C801AF5
同RECV,有矫正,不可恢复魔力私服,最新魔力宝贝私服技术交流' F" l3 o+ q) E5 y2 P
内存地址---10006C7D---居然破坏了8条函数头指令- -蛋疼妖城在线论坛# I1 P+ T5 ], D& L+ s
6A 34 68 F8 E0 80 7C E8 D5 09 00 00 33 FF 89 7D D8 89 7D D4 89 7D E0 89
7D E4 8B 5D 10 E9 73 AE 7F 6C 90 90 90 90 90 90 90 90 90
至此函数已全部修复,但HOOK绝对没有动,矫正不出来,外部DLL可正常加载,且本身bbs.mocwww.com- [9 N1 J0 V* e' l: j" g1 s4 L
验证函数调用信息的判断已被破坏魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表/ ~& G' w+ q$ d; L9 C" y" ]; k

第十个HOOK--SEND--发送数据的函数(封包二次加密也在这里面了)--71A24C27
不可恢复,由于有二次加密,如恢复则直接断线魔力私服,最新魔力宝贝私服技术交流" `" \3 q7 V! F. `1 U4 B1 s, Q7 v  y
看看跳转处汇编码~~
cgx_e7ml.dll+EE94 - 56                   - push esi
cgx_e7ml.dll+EE95 - 57                   - push edi
cgx_e7ml.dll+EE96 - 53                   - push ebx妖城在线论坛7 `0 m8 E0 `% |$ Z
cgx_e7ml.dll+EE97 - 8D 74 24 10          - lea esi,[esp+10]妖城在线论坛0 t" Q4 K" G2 f) G9 ~' q/ k
cgx_e7ml.dll+EE9B - 83 EC 10             - sub esp,10妖城在线论坛* x/ M. G. b  l' g  b0 }% S, J5 L
cgx_e7ml.dll+EE9E - 8B FC                - mov edi,esp
cgx_e7ml.dll+EEA0 - FC                   - cld
cgx_e7ml.dll+EEA1 - B9 04000000          - mov ecx,00000004—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート( y$ V. C3 ]% |! }8 p
cgx_e7ml.dll+EEA6 - F3 A5                - repe movsd 妖城在线论坛+ l# C3 |9 B. T& s
cgx_e7ml.dll+EEA8 - E8 69F7FFFF          - call cgx_e7ml.dll+E616妖城在线论坛0 F+ v* r: F7 z) c/ t
cgx_e7ml.dll+EEAD - 5B                   - pop ebx魔力私服,最新魔力宝贝私服技术交流$ u' n2 E. `/ ~# t5 M
cgx_e7ml.dll+EEAE - 5F                   - pop edi
cgx_e7ml.dll+EEAF - 5E                   - pop esi
cgx_e7ml.dll+EEB0 - C2 1000             - ret 0010魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表) ?+ e  o. D. ^4 D* Y3 G# R
魔力私服,最新魔力宝贝私服技术交流4 v0 B/ T" D' P; L2 ^
RET 10~~还是4参数~符合SEND函数的参数定义
6 W; u! N, X9 Y
参数一:套接字
参数二:封包内容指针
参数三:封包长度
参数四:FLAG=0

理论上PUSH这四个参数,然后CALL加密函数地址1000E616就可以调用他的加密函数魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表* _  n; k! o8 N! \$ ]
来发包了- -未看具体加密细节~也未测试这个CALL有效性
" k. [4 k7 r- ~& @3 z2 @/ Y
一晚上写这玩意好累~最后的SEND分析就迟点再出吧- -& d9 L6 S# I8 s+ V% @9 J# R

并非秀技能~正如某人所言~这个可能也是没有技术含量~小白慢慢学~我承认我是小白哈~

魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表* H! p( c) o6 f# l+ a

[ 本帖最后由 HOHO 于 2013-12-11 00:46 编辑 ]

本帖最近评分记录

全熟牛排溅血妖力 +10 2013-12-13 19:25

驱动版反挂
需要直接联系QQ：368333211
加好友请说明来意

TOP

HOHO

妖使

Rank: 3 Rank: 3 Rank: 3

UID: 3805
精华: 2
积分: 1073
威望: 0 度

沙发大中小发表于 2013-12-11 00:46 显示全部帖子

惯例是自己的~~

驱动版反挂
需要直接联系QQ：368333211
加好友请说明来意

TOP

‹‹ 上一主题 | 下一主题 ››