打印

[讨论] CG-X-SEVER反挂分析(带破解--全汇编)

HOHO

妖使

Rank: 3 Rank: 3 Rank: 3

UID: 3805
精华: 2
积分: 1073
威望: 0 度

阁楼大中小发表于 2013-12-11 00:41 只看该作者

CG-X-SEVER反挂分析(带破解--全汇编)

使用软件XueTr和CE6.4驱动版妖城在线论坛% V" w, O, \2 r) B, t
7 V/ v' ~, \7 C0 f4 e9 q
启动游戏后一共有十个HOOK~
bbs.mocwww.com; m8 c; K0 d5 e7 E! W
无驱动魔力私服,最新魔力宝贝私服技术交流! i6 D4 x7 I; y: `% c4 H+ x# Z

一个个HOOK来搞吧- -妖城在线论坛. Y! R1 O2 B% N3 Y# \

第一个HOOK--地址004db520
处理方法
内存地址---004db55d
修改为6A 00 EB D8 02 00 00

第二个HOOK--地址004db566
, V* h; g. p2 ]3 d1 H妖城在线论坛处理方法0 ^5 ^  d: h5 n
内存地址---004db696
修改为50 68 01 01 00 00 89 35 98 07 c3 00 E8 ED 26 E9 CB FE FF FF 90 90 魔力私服,最新魔力宝贝私服技术交流: @7 x3 K$ l- ^6 i+ ?) k
90 90 90 90 90 一直到4db68f都是90% c. X& P6 r' n% @
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート2 }2 e/ w- c$ r: W: v6 ~( _
第三个HOOK--地址004e1fe8
' B1 u! a2 n7 M, i妖城在线论坛处理方法
内存地址---00163905妖城在线论坛2 B1 B: Z: T; E) F
修改为---A0 50 53 C3 00 E9 E3 E6 37 00 90 90妖城在线论坛  `5 E# `# U) }: J" G
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート& r, o/ r: l" a9 n. h
第四个HOOK--地址004e20a0妖城在线论坛9 p+ |# l& `- R& D& d
处理方法bbs.mocwww.com- e9 y& ~; \4 t3 z2 y, F
内存地址---001638B8
修改为---A0 08 4F C3 00 E9 E3 E7 37 00 90 90魔力私服,最新魔力宝贝私服技术交流& o& T# h- J% Y" J# `8 [

以上4个HOOK都是和DLL无关连的~其实可以直接恢复HOOK,按照以上操作可以在不恢复HOOK的情况下让函数还原

第五个HOOK--地址00433180- h, z8 r  ~" k
处理方法妖城在线论坛5 a2 X& I+ ^* z1 k5 ?3 K6 |3 e0 D
内存地址---10006cc3—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート$ A" H6 k4 m& o) O
修改为---90 90 90 90 90
bbs.mocwww.com- g: b, W* E( \; i
这个HOOK代码里面有个CALL会跳到DLL另一地址,如果不修改直接恢复,HOOK也会存在,但游戏不会崩,后验证其实此HOOK是图档相关的修复,可不理会魔力私服,最新魔力宝贝私服技术交流  @+ [( i/ F+ w9 ^% W/ B
妖城在线论坛0 ]: \& z7 R: u! Y+ h6 R
第六个HOOK--WSOCK32中RECV--地址71a42e70—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート! f. K; X1 I4 l- b
第七个HOOK--WS2_32中的RECV--地址71A2676F魔力私服,最新魔力宝贝私服技术交流& D7 j0 O" x/ S+ }: D! b. m
妖城在线论坛3 m& S0 O# ?8 ^
WSOCK32.recv - E9 12C45C9E          - jmp cgx_e7ml.dll+F287/ T" m* B1 A9 t+ N
WSOCK32.recv+5- 51                   - push ecx妖城在线论坛5 C" ?( t0 T2 D9 V
WSOCK32.recv+6- 51                   - push ecx, I1 u* m4 m$ U; X
& m/ U" g! D  A
RECV函数头被修改前5字节,改为了JMP命令

这里我们不能动这5字节,因为有矫正,只要改了或者恢复了,会掉线的bbs.mocwww.com6 c& C: l3 _+ I7 V

那我们只能修改他跳转地址中的代码了8 t! ?2 m& h0 h6 ^1 S4 }, A) j

以上两个HOOK都被指向同一个地址1000f287魔力私服,最新魔力宝贝私服技术交流; P5 \. X$ m5 k& T; Y7 \0 O7 Z( D2 W
妖城在线论坛! s, N2 `! B8 B1 q
cgx_e7ml.dll+F287 - 56                   - push esi妖城在线论坛$ h0 H1 I( H" T- f; q: A  e0 @
cgx_e7ml.dll+F288 - 57                   - push edi妖城在线论坛: B3 P/ e% V' k% Y! z( [
cgx_e7ml.dll+F289 - 53                   - push ebx
cgx_e7ml.dll+F28A - 8D 74 24 10          - lea esi,[esp+10]—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート* w3 j' k$ x! k9 x$ q
cgx_e7ml.dll+F28E - 83 EC 10             - sub esp,10
cgx_e7ml.dll+F291 - 8B FC                - mov edi,espbbs.mocwww.com! c% S- G, O" Z& b* n8 c1 A
cgx_e7ml.dll+F293 - FC                   - cld 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表6 O; v, G; @- s% Y; L! A3 [' T, h- s
cgx_e7ml.dll+F294 - B9 04000000          - mov ecx,00000004魔力私服,最新魔力宝贝私服技术交流, N7 @+ m4 e1 |. S
cgx_e7ml.dll+F299 - F3 A5                - repe movsd
cgx_e7ml.dll+F29B - E8 F2FDFFFF          - call cgx_e7ml.dll+F092魔力私服,最新魔力宝贝私服技术交流3 w5 k1 z& t/ k
cgx_e7ml.dll+F2A0 - 5B                   - pop ebx
cgx_e7ml.dll+F2A1 - 5F                   - pop edi
cgx_e7ml.dll+F2A2 - 5E                   - pop esi
cgx_e7ml.dll+F2A3 - C2 1000             - ret 0010
3 K- p% C. e. }+ D- u
RET 10--函数调用有4参数~具体代码我就不解释了,我告诉你怎么改bbs.mocwww.com% z$ Z: Y- U! S& k

RECV原函数头汇编码如下
MOV EDI,EDIbbs.mocwww.com5 C% Z6 U5 U+ a% {4 n+ p+ J7 W
PUSH EBP
MOV EBP,ESPbbs.mocwww.com0 |/ t# }) d( z7 K* `% b
bbs.mocwww.com6 u1 D0 H+ U9 m# k3 _; Z9 r' }
这就是被修改的5字节原汇编码

下面添加JMP命令调回去原函数
jmp 71a42e75
把原函数头以及JMP命令写入513135内存中9 [* ^7 M7 ^+ Y( F& A$ N
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表3 d! p: t9 f" M+ g: T5 @$ }- ?
这个地址的具体16进制代码忘记记录下来了- -你们你自己转换了魔力私服,最新魔力宝贝私服技术交流5 \# |* x3 O: u6 Q7 F( D
& x+ I) p4 @4 h3 i- b2 h: A' P
修改的代码从1000f287开始
魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表( t6 t$ U- o" b+ `) F8 k8 d
修改为8B FF 55 8B EC E9 E4 38 A3 61% L7 c1 n6 J. K; [3 W# _) \7 `9 g/ v
然后从1000fc91-fca6全部都是90

这样修改后,反挂在接受封包RECV函数中所做的所有判定全部无效了
. @. f6 ?- R* }4 F: D" b4 ?
第八个HOOK--DbgUiRemoteBreakin--OD调试所需函数--7C97211C妖城在线论坛! d2 {9 Q  P) m: n4 \, r* c
同RECV,有矫正,不可恢复妖城在线论坛1 o: E" M6 g) w9 e
妖城在线论坛' x1 F! O$ u) ~% C! {
内存地址---10006CA8魔力私服,最新魔力宝贝私服技术交流" d( M# K. s& t; [: q* @8 X
修改方法:(由于此HOOK纯属破坏函数,所以修复的字节会比较多)
E9 85 C4 50 F0魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表% e0 u* }2 Y6 o6 k+ _3 {
内存地址---513135
6A 08 68 68 21 97 7C E8 A3 C7 FB FF 64 A1 18 00 00 00 E9 E2 EF 45 7C
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート8 }( q& J0 ~3 a% U' o
这里申明一下,为啥这里修改不像前面一样在DLL内存空间里面修改,DLL内存空间的汇编码如下
push esi魔力私服,最新魔力宝贝私服技术交流' l, n& G1 j! L" P; o' N; b9 X
push edi
push ebx魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表( D" e0 \, U/ _
CALL 地址忘记了- -妖城在线论坛$ {- M7 d6 X; s! x
pop ebx
pop edi
pop esibbs.mocwww.com1 j+ y: ]# W" y4 \  V* a, e
ret 0010
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート) L* n2 U1 w9 j) d8 u& y6 |  L  F
push是压入数据于指定寄存器,而POP则是清除寄存器数据,两者对应的就是为了CALL完函数后所做的堆栈平衡,如果在这里直接修改,堆栈不平衡直接导致游戏崩溃
魔力私服,最新魔力宝贝私服技术交流' f# g& A/ [& X( I$ ]6 s. S
而CALL命令所需字节是5字节,刚好可以写个JMP,所以修改方法就有点复杂了妖城在线论坛) N$ u- R6 Z2 O& u% V/ e: h
bbs.mocwww.com) ~: w' i3 V, t* Y' ]& e% \
至此函数已全部修复,但HOOK绝对没有动,矫正不出来,OD可以正常加载CG了; E* t8 U# \% x" S8 z; U

第九个HOOK--LoadLibraryExW--加载外部DLL所需函数--7C801AF5
7 u% B' O9 @; `- i/ u; u同RECV,有矫正,不可恢复—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート% s7 h! [" _' A, f0 T9 c$ `* w  x
内存地址---10006C7D---居然破坏了8条函数头指令- -蛋疼魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表0 T+ _' B  H7 N9 T3 j1 u/ k
6A 34 68 F8 E0 80 7C E8 D5 09 00 00 33 FF 89 7D D8 89 7D D4 89 7D E0 89
7D E4 8B 5D 10 E9 73 AE 7F 6C 90 90 90 90 90 90 90 90 90
至此函数已全部修复,但HOOK绝对没有动,矫正不出来,外部DLL可正常加载,且本身
验证函数调用信息的判断已被破坏魔力私服,最新魔力宝贝私服技术交流. v  F5 W2 }; n

第十个HOOK--SEND--发送数据的函数(封包二次加密也在这里面了)--71A24C27魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表* j: ]- N: u' ~( |
不可恢复,由于有二次加密,如恢复则直接断线bbs.mocwww.com. G' Q, X& G! o/ ^$ l2 }) w
看看跳转处汇编码~~
cgx_e7ml.dll+EE94 - 56                   - push esi
cgx_e7ml.dll+EE95 - 57                   - push edi魔力私服,最新魔力宝贝私服技术交流9 M% c7 ~- c. W3 W0 ]! |6 w) L6 [/ G. n
cgx_e7ml.dll+EE96 - 53                   - push ebx
cgx_e7ml.dll+EE97 - 8D 74 24 10          - lea esi,[esp+10]
cgx_e7ml.dll+EE9B - 83 EC 10             - sub esp,105 L0 L6 s4 }7 @( ~' j
cgx_e7ml.dll+EE9E - 8B FC                - mov edi,esp
cgx_e7ml.dll+EEA0 - FC                   - cld bbs.mocwww.com' g# s" L3 W0 ^5 X% i1 c
cgx_e7ml.dll+EEA1 - B9 04000000          - mov ecx,00000004bbs.mocwww.com2 N( x: E8 w) K- \: N5 o; M
cgx_e7ml.dll+EEA6 - F3 A5                - repe movsd 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表& @' f3 h; E% e3 g! u
cgx_e7ml.dll+EEA8 - E8 69F7FFFF          - call cgx_e7ml.dll+E616魔力私服,最新魔力宝贝私服技术交流! G& A9 s$ y  n6 V
cgx_e7ml.dll+EEAD - 5B                   - pop ebx
cgx_e7ml.dll+EEAE - 5F                   - pop edi, v+ s6 `2 @+ E6 r5 C5 e
cgx_e7ml.dll+EEAF - 5E                   - pop esi—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート1 K; \9 l; H* H- H9 g( L
cgx_e7ml.dll+EEB0 - C2 1000             - ret 0010

RET 10~~还是4参数~符合SEND函数的参数定义—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート+ l; P+ p; R8 e+ |! @4 N. S
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート% ]2 s9 R) J) M
参数一:套接字
参数二:封包内容指针魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表6 J! _0 ~2 I/ N- \* ~
参数三:封包长度bbs.mocwww.com# ~! Z: V  e5 h$ g* t
参数四:FLAG=0
妖城在线论坛8 g* I* @' r# B3 M2 T
理论上PUSH这四个参数,然后CALL加密函数地址1000E616就可以调用他的加密函数
来发包了- -未看具体加密细节~也未测试这个CALL有效性

一晚上写这玩意好累~最后的SEND分析就迟点再出吧- -
魔力私服,最新魔力宝贝私服技术交流& H( r1 P! Q0 n* Q
并非秀技能~正如某人所言~这个可能也是没有技术含量~小白慢慢学~我承认我是小白哈~