|
妖使
- UID
- 3805
- 精华
- 2
- 积分
- 1073
- 威望
- 0 度
|
阁楼
大 中
小 发表于 2013-12-11 00:41 只看该作者
CG-X-SEVER反挂分析(带破解--全汇编)
使用软件 XueTr和 CE6.4驱动版魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表5 ~' F/ e4 S& a/ W9 m9 ]5 g- a6 }
: d! O z: h) N- @. _. N0 z! H魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表启动游戏后一共有十个HOOK~ 魔力私服,最新魔力宝贝私服技术交流! ^; W+ D" M3 {4 O% h9 c, i( G" o8 ~
9 H" `; Y( Z, R" t妖城在线论坛无驱动 魔力私服,最新魔力宝贝私服技术交流* D6 h- ?$ E2 I. \0 G' Z4 \3 M
( M1 P- N: [3 ^魔力私服,最新魔力宝贝私服技术交流一个个HOOK来搞吧- -
7 f% `8 Q- [* x2 e; `—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート
# r+ _4 d8 H2 x妖城在线论坛第一个HOOK--地址004db520魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表" l+ O6 d+ h; ?! _" d% {
处理方法 魔力私服,最新魔力宝贝私服技术交流! v0 `1 F3 e% I' F
内存地址---004db55d bbs.mocwww.com* D3 `2 Q' y! m4 @, ]% \, w; C3 d" X
修改为6A 00 EB D8 02 00 00
3 K: w% m$ |8 G! f" r: s1 V
" D r( Y; \4 R1 T; hbbs.mocwww.com第二个HOOK--地址004db566bbs.mocwww.com8 x5 i3 n0 I: [, d) N0 D
处理方法
) o$ b/ E7 ^8 N' i—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート内存地址---004db696 —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート) V6 @8 p5 ~/ L. K' Q' m
修改为50 68 01 01 00 00 89 35 98 07 c3 00 E8 ED 26 E9 CB FE FF FF 90 90 魔力私服,最新魔力宝贝私服技术交流& L+ C7 P$ c ?# i4 t' C9 W7 _( D
90 90 90 90 90 一直到4db68f都是90
5 j1 Z E5 B) W: `7 C( O+ Y; P妖城在线论坛bbs.mocwww.com+ y7 D) ~8 ?8 E) W
第三个HOOK--地址004e1fe8
% E7 b) S' I1 \% S5 l- X# ^3 t妖城在线论坛处理方法 8 L! U1 L0 U. P: h
内存地址---00163905 bbs.mocwww.com) a/ P$ c6 }1 @( E3 R
修改为---A0 50 53 C3 00 E9 E3 E6 37 00 90 90 # l3 z6 G' Z! l- K: o! Q
0 P8 S }) c Q# F" O妖城在线论坛第四个HOOK--地址004e20a0魔力私服,最新魔力宝贝私服技术交流# Y. F1 y6 ?- O% L+ n# L* e0 q
处理方法 魔力私服,最新魔力宝贝私服技术交流9 {$ M* Q ~: i6 Q0 G
内存地址---001638B8 妖城在线论坛$ J+ g; g& X; n' q# D
修改为---A0 08 4F C3 00 E9 E3 E7 37 00 90 90 魔力私服,最新魔力宝贝私服技术交流) A% C$ W* H$ D' H& Z
bbs.mocwww.com3 j9 D% F! j# v4 z: u- W
以上4个HOOK都是和DLL无关连的~其实可以直接恢复HOOK,按照以上操作可以在不恢复HOOK的情况下让函数还原魔力私服,最新魔力宝贝私服技术交流. x( P: G2 \8 X) K; y0 [( Q$ D
+ x! a2 J4 _3 Y. y妖城在线论坛第五个HOOK--地址00433180魔力私服,最新魔力宝贝私服技术交流2 a! ^4 W1 Q. D& y# N9 ~+ g& z6 d5 q
处理方法 妖城在线论坛' m5 H% P% D: F1 Y# k
内存地址---10006cc3 魔力私服,最新魔力宝贝私服技术交流! @9 v H3 d; r z3 `' ], A
修改为---90 90 90 90 90 1 l! q6 P0 W& L8 i" f( `
! h$ A9 h. s/ W% j* e5 k2 {—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート这个HOOK代码里面有个CALL会跳到DLL另一地址,如果不修改直接恢复,HOOK也会存在,但游戏不会崩,后验证其实此HOOK是图档相关的修复,可不理会
9 l1 I9 X- j" T4 R- i4 m魔力私服,最新魔力宝贝私服技术交流魔力私服,最新魔力宝贝私服技术交流$ N! s* W& i7 H; o2 H% K% O
第六个HOOK--WSOCK32中RECV--地址71a42e70
4 w7 V7 \: W4 _魔力私服,最新魔力宝贝私服技术交流第七个HOOK--WS2_32中的RECV--地址71A2676F魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表8 ]. c6 d6 M0 b0 v
# u) ~9 v$ p- e魔力私服,最新魔力宝贝私服技术交流WSOCK32.recv - E9 12C45C9E - jmp cgx_e7ml.dll+F287 bbs.mocwww.com; Z' e `) _; O, J
WSOCK32.recv+5- 51 - push ecx
' r# I# j4 U% x8 x4 _$ W4 i9 p) m魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表WSOCK32.recv+6- 51 - push ecx
3 r3 c" L( b% U: D) Lbbs.mocwww.com' b- z. K" B" ^$ d# d( t) h
RECV函数头被修改前5字节,改为了JMP命令 bbs.mocwww.com1 x4 Y4 G0 P+ u6 Y5 |1 {
1 v/ ?# i& c5 u+ K. \妖城在线论坛这里我们不能动这5字节,因为有矫正,只要改了或者恢复了,会掉线的 妖城在线论坛3 T* h+ m7 N/ Q1 r) |9 ~. x# b* n
bbs.mocwww.com% {( a0 U; q, Q {2 ^1 Y# e; M
那我们只能修改他跳转地址中的代码了
+ v2 e5 h6 @+ J5 b; ^魔力私服,最新魔力宝贝私服技术交流—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート3 ~: |( @6 b1 b% P
以上两个HOOK都被指向同一个地址1000f287
( k& d% t9 a5 H3 s5 l7 c' Y+ Pbbs.mocwww.com
. |. Q4 ?- h+ s- s( r: p—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートcgx_e7ml.dll+F287 - 56 - push esi 魔力私服,最新魔力宝贝私服技术交流. _) v5 A4 K& ^7 _4 |& K. m
cgx_e7ml.dll+F288 - 57 - push edi
+ a4 @/ W+ I# M: H1 H1 k妖城在线论坛cgx_e7ml.dll+F289 - 53 - push ebx —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート; ^2 G1 F( T( O
cgx_e7ml.dll+F28A - 8D 74 24 10 - lea esi,[esp+10] —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート9 L; r6 J& o6 O0 f0 `7 H
cgx_e7ml.dll+F28E - 83 EC 10 - sub esp,10
S) c ^/ E9 @, _+ F/ pcgx_e7ml.dll+F291 - 8B FC - mov edi,esp ! e. q$ O8 U/ L9 r) H% Y
cgx_e7ml.dll+F293 - FC - cld
o+ Q+ ?# l0 R4 Pbbs.mocwww.comcgx_e7ml.dll+F294 - B9 04000000 - mov ecx,00000004
9 Q3 j/ u( ]' q! u v9 H5 i魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表cgx_e7ml.dll+F299 - F3 A5 - repe movsd bbs.mocwww.com: n. w5 f: i9 [1 S
cgx_e7ml.dll+F29B - E8 F2FDFFFF - call cgx_e7ml.dll+F092
* h M- S3 e/ p. u' ^- [$ e/ Ibbs.mocwww.comcgx_e7ml.dll+F2A0 - 5B - pop ebx
# y$ F# ?& ]) B) Fcgx_e7ml.dll+F2A1 - 5F - pop edi —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート% c3 y5 u5 n6 |: Z) m
cgx_e7ml.dll+F2A2 - 5E - pop esi
! A- i1 c3 `: V) H* B魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表cgx_e7ml.dll+F2A3 - C2 1000 - ret 0010 妖城在线论坛8 ]' x' G9 o% d. I6 y0 A* q L
& M5 }& Q' Z: `. O2 q2 GRET 10--函数调用有4参数~具体代码我就不解释了,我告诉你怎么改
! R& d7 L4 J* q9 M1 T1 Z! l妖城在线论坛
+ }( j% c1 m5 W# K& F2 M妖城在线论坛RECV原函数头汇编码如下
6 u4 ^( I* m" e; q: R( i2 ibbs.mocwww.comMOV EDI,EDI
2 Z9 H7 d; s% e& }魔力私服,最新魔力宝贝私服技术交流PUSH EBP
4 d/ b& g" r( D. Q- f: OMOV EBP,ESP " f! l$ O3 c( t) `% i- z7 x
—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート1 ?9 c* h+ C' ~6 R! I r
这就是被修改的5字节原汇编码 妖城在线论坛7 E- g% N- B: u* K" K7 |
9 n/ U/ w& ^4 K+ q- d, [. j5 J5 q" K/ V魔力私服,最新魔力宝贝私服技术交流下面添加JMP命令调回去原函数 —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート* ^& t( C) c/ j( U& n" L
jmp 71a42e75
$ y8 W$ B: v+ Q4 B魔力私服,最新魔力宝贝私服技术交流把原函数头以及JMP命令写入513135内存中
2 I+ r! {' M- {/ f( |2 w; m6 Obbs.mocwww.com
m% f- D, ?- ~ p魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表这个地址的具体16进制代码忘记记录下来了- -你们你自己转换了
. }" y+ g( s/ n* K魔力私服,最新魔力宝贝私服技术交流魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表- g7 Y/ k# g {# N6 x/ R9 ?
修改的代码从1000f287开始 魔力私服,最新魔力宝贝私服技术交流6 _) r; f1 @8 C& s
. x1 q+ n! E& r( y) _—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート修改为8B FF 55 8B EC E9 E4 38 A3 61
w0 t" A o, B# A魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表然后从1000fc91-fca6全部都是90 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表! g$ n+ ^) x- M. L9 F
# N" S( a( {+ m% L* ~( \9 V—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート这样修改后,反挂在接受封包RECV函数中所做的所有判定全部无效了
$ v/ d) t7 [! V1 C8 Y; Hbbs.mocwww.com
/ Z7 d, x. |# N/ N3 v0 A \9 ~妖城在线论坛第八个HOOK--DbgUiRemoteBreakin--OD调试所需函数--7C97211Cbbs.mocwww.com, d0 t/ g3 g& F+ k/ U. F3 s
同RECV,有矫正,不可恢复 —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート7 y$ B* F- }& g. E# Y5 L) N! m9 J
魔力私服,最新魔力宝贝私服技术交流& |. ^+ ?# j* G( p$ B
内存地址---10006CA8 魔力私服,最新魔力宝贝私服技术交流 a4 ?$ k5 y& n' x. s% U
修改方法:(由于此HOOK纯属破坏函数,所以修复的字节会比较多) 妖城在线论坛5 c* V# Z* J/ C' r
E9 85 C4 50 F0
# c9 ?" f+ d7 ~' k$ a! ]魔力私服,最新魔力宝贝私服技术交流内存地址---513135
/ v- T) |+ K7 i# B! Q—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート6A 08 68 68 21 97 7C E8 A3 C7 FB FF 64 A1 18 00 00 00 E9 E2 EF 45 7C 妖城在线论坛4 Q1 \2 E* H/ D. |5 o+ }* O- _
V: k. P; I3 Y2 B8 H( u魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表这里申明一下,为啥这里修改不像前面一样在DLL内存空间里面修改,DLL内存空间的汇编码如下
9 D F* l# Z8 O) L! Tbbs.mocwww.compush esi
+ ^' S. _. L( ?$ ^妖城在线论坛push edi bbs.mocwww.com: p. g6 ?9 L5 \: s
push ebx —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート# d/ ~; B# x/ Z: ^; e
CALL 地址忘记了- - * L% z( `7 [' w, O6 N( F
pop ebx bbs.mocwww.com* R l* l( F$ F/ ?) ^5 P* [6 d/ b' `) l
pop edi ' F' l; I5 u% E9 o
pop esi —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート- H) j. y$ l! ]( y* V
ret 0010 bbs.mocwww.com( W* Z4 W+ S( N) @( A, r- g5 T' @7 d
妖城在线论坛$ b& g/ _0 r7 y$ P
push是压入数据于指定寄存器,而POP则是清除寄存器数据,两者对应的就是为了CALL完函数后所做的堆栈平衡,如果在这里直接修改,堆栈不平衡直接导致游戏崩溃
7 I ]6 A' l* I$ s4 o魔力私服,最新魔力宝贝私服技术交流妖城在线论坛. b! y# Q3 U4 i* o
而CALL命令所需字节是5字节,刚好可以写个JMP,所以修改方法就有点复杂了 妖城在线论坛" c3 P9 Y* j w
魔力私服,最新魔力宝贝私服技术交流4 o* b& Z7 n. a8 k) E2 Q6 H
至此函数已全部修复,但HOOK绝对没有动,矫正不出来,OD可以正常加载CG了 魔力私服,最新魔力宝贝私服技术交流, Q$ J, Z- w; p
0 Z5 v+ e" `$ v, ` ]- h% {魔力私服,最新魔力宝贝私服技术交流第九个HOOK--LoadLibraryExW--加载外部DLL所需函数--7C801AF5
& `$ x7 U6 ~( T) k妖城在线论坛同RECV,有矫正,不可恢复
/ u7 h( T' `3 N) @ w4 m魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表内存地址---10006C7D---居然破坏了8条函数头指令- -蛋疼
' l2 ^, e4 x; sbbs.mocwww.com6A 34 68 F8 E0 80 7C E8 D5 09 00 00 33 FF 89 7D D8 89 7D D4 89 7D E0 89
4 u: r2 `3 W/ d- W! t8 obbs.mocwww.com7D E4 8B 5D 10 E9 73 AE 7F 6C 90 90 90 90 90 90 90 90 90 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表3 V0 I( _+ s: q( L& S
至此函数已全部修复,但HOOK绝对没有动,矫正不出来,外部DLL可正常加载,且本身 —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート, [) q6 x+ B5 _* Z% @5 H
验证函数调用信息的判断已被破坏
6 f- c3 i. T: D( C8 R: x; ~妖城在线论坛
; [9 a5 ^( d# V' L3 Q, t/ |妖城在线论坛第十个HOOK--SEND--发送数据的函数(封包二次加密也在这里面了)--71A24C27
g' \% ^& G. M4 P, S5 k; w0 ^bbs.mocwww.com不可恢复,由于有二次加密,如恢复则直接断线
5 C$ P# U% b1 s" l0 A9 dbbs.mocwww.com看看跳转处汇编码~~ bbs.mocwww.com7 d, F' p! x# s( Y: i8 j$ o: L
cgx_e7ml.dll+EE94 - 56 - push esi
], I3 U$ h0 N. pcgx_e7ml.dll+EE95 - 57 - push edi
. G# f; m' k3 c—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲートcgx_e7ml.dll+EE96 - 53 - push ebx
7 t" B6 |: C/ T+ }+ B. v魔力私服,最新魔力宝贝私服技术交流cgx_e7ml.dll+EE97 - 8D 74 24 10 - lea esi,[esp+10]
& ^; u6 `: M) B% b8 ^8 @+ i X+ icgx_e7ml.dll+EE9B - 83 EC 10 - sub esp,10
[$ R; W7 V) B8 G h魔力私服,最新魔力宝贝私服技术交流cgx_e7ml.dll+EE9E - 8B FC - mov edi,esp
& e' E0 s* E! B8 o& C5 G! icgx_e7ml.dll+EEA0 - FC - cld
4 V- u( \2 H) H1 V& l A# m妖城在线论坛cgx_e7ml.dll+EEA1 - B9 04000000 - mov ecx,00000004
$ L8 r# m. P! c/ V3 a/ I妖城在线论坛cgx_e7ml.dll+EEA6 - F3 A5 - repe movsd bbs.mocwww.com+ F3 S, C$ `7 e+ a4 u5 q" u
cgx_e7ml.dll+EEA8 - E8 69F7FFFF - call cgx_e7ml.dll+E616
& w7 W7 f- \4 v魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表cgx_e7ml.dll+EEAD - 5B - pop ebx 魔力私服,最新魔力宝贝私服技术交流" n8 T) r1 z; Y/ |' m; E3 A4 Z
cgx_e7ml.dll+EEAE - 5F - pop edi
: h q4 F) H$ i7 Z妖城在线论坛cgx_e7ml.dll+EEAF - 5E - pop esi
$ `% g8 ^8 \" T# E妖城在线论坛cgx_e7ml.dll+EEB0 - C2 1000 - ret 0010 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表; I3 m# ]+ M. v& k2 C/ d
魔力私服,最新魔力宝贝私服技术交流8 {5 H5 v" O" q6 ?8 x! i
RET 10~~还是4参数~符合SEND函数的参数定义 魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表% \$ W6 M) ^* Y. q
妖城在线论坛3 N' R$ k8 M4 ~4 L
参数一:套接字 6 g, p: h0 F% `) G7 h
参数二:封包内容指针
! \6 r3 M) t( Bbbs.mocwww.com参数三:封包长度 —魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート6 O& T) \6 x) ]4 {! F9 _ J
参数四:FLAG=0
4 Y/ r) [7 _6 x) b+ O2 C8 d
- y: }' J4 S) l$ w3 K* Fbbs.mocwww.com理论上PUSH这四个参数,然后CALL加密函数地址1000E616就可以调用他的加密函数
" r9 W/ Y% S4 w3 _; S—魔力私服,魔力宝贝私服技术,DELPHI编程,魔力寶貝, 魔力宝贝, 크로스게이트,クロスゲート来发包了- -未看具体加密细节~也未测试这个CALL有效性 妖城在线论坛7 Y% H: q% L1 ~( b0 L
0 j2 ]& e$ _! o) x$ j0 f
一晚上写这玩意好累~最后的SEND分析就迟点再出吧- -
5 H/ C2 @" g4 n- t6 f
2 I0 K4 p1 o/ k) I4 ~魔力私服,最新魔力私服,魔力宝贝私服,魔力宝贝私服技术,魔力宝贝私服,私服架设技术,妖城,FLASH,电影,黑客,网络,网吧,破解,入侵,注册表并非秀技能~正如某人所言~这个可能也是没有技术含量~小白慢慢学~我承认我是小白哈~ 
. {' p* y8 f, x; O- e! E8 \bbs.mocwww.com魔力私服,最新魔力宝贝私服技术交流7 e9 f) @% H( P" X; s
[ 本帖最后由 HOHO 于 2013-12-11 00:46 编辑 ]
驱动版反挂
需要直接联系QQ:368333211
加好友请说明来意
|
