分析一款外挂
本帖最后由 meiguang 于 2010-8-8 16:24 编辑新传奇外传.exe这个是充值登陆器
启动新传奇外传的MIR1.DAT,然后把Butler.dll注入到里面
这个是验证账号和大区的。
关键地方被VMP的SDK搞过,
这个是DLL文件用的算法
ADLER32 :: 00064D09 :: 00465909
The reference is above.
ADLER32 :: 00064DD2 :: 004659D2
The reference is above.
ADLER32 :: 00064DDF :: 004659DF
The reference is above.
BASE64 table :: 000F0804 :: 004F1404
Referenced at 0046B60C
Referenced at 0046B62D
Referenced at 0046B650
Referenced at 0046B665
Referenced at 0046B6A2
Referenced at 0046B6C1
Referenced at 0046B6EE
Referenced at 0046B709
BASE64 table :: 000F0F88 :: 004F1B88
Referenced at 004C7956
Referenced at 004C7A3B
Referenced at 004C7A7B
Referenced at 004C7A9F
CRC32 :: 000ED34C :: 004EDF4C
Referenced at 00465C550065055
Referenced at 00465C600065060
Referenced at 00465D800065180
Referenced at 004660560065456
DES :: 000EFFB4 :: 004F0BB4
Referenced at 0046A3D1
DES :: 000EFFFC :: 004F0BFC
Referenced at 0046A824
LockBox RsaEncryptFile :: 0006A210 :: 0046AE10
The reference is above.
LockBox RsaEncryptFile :: 0006A2B4 :: 0046AEB4
The reference is above.
ADLER32 和CRC32好像是用来校验内存的,这个能检测出关键地方和API的INT3断点,内存断点,硬件断点。
注册通信是用DES加密的,密尺也找不到。
登陆进去新传奇外传的时候 ,等到刚登陆进去有服务器发的验证码的时候,这个挂开始验证。
发包发2个包
第1个包是52大小(16进制) ,第2个包是40大小(16进制),然后从服务器收到1个包(52大小(16进制))。
发的第2个包估计是密尺,然后服务器用来解密的。
跟WSARECV发现被检测 ,而且加了VMP的SDK,奶奶的 看了头大。
然后进去用的时候 验证地方有很多处内存检测,
基本所有的检测都是Butler.dll的LOCKTIMER里面的,这个LOCKTIMER是300毫秒。
这个查询的用BP SEND断的下来,
但是堆栈里面什么都没有,就个SEND函数。555:'(weeqw
这个充值的断不下来了,555。:'(weeqw
进去游戏要是验证通过了,他会有提示:什么自动蓝字每过30秒发什么网络稳定性检测。
要是不通过什么通知都没有。:'(weeqw
我搞了半天搞不定,欢迎大家来谈论。(应该不违规吧:lol )
还有这个\Data下面的S.dat里面有3行。
貌似是:电信1区啊,网通1区啊。外挂的下载网页的IP。
貌似是BASE64加密的。
下载地址
http://www.brsbox.com/filebox/down/fc/792a26bd45c50dfa923b16d3350d9763 天呐~~看着头疼。 我晕倒了 顶~~~~~~~~~~~~~~下 晕了怎么………… 加油!!! 我也喜欢破解 搞的我整天头晕晕的 看了真的是头大了。。 看到VMP直接飘过..! 望大虾门出多点关于VMP的教程。! 没那位大大继续啊?
页:
[1]
2