破解某某狙击的辅助思路(续)
本帖最后由 LingMo 于 2019-3-23 08:40 编辑*写帖子前,我想说一句:*为什么`Markdown`**不能上传图片**!!!
新人发帖,大佬勿喷,觉得不错还可以的:
评分不要钱!!!评分不要钱!!!评分不要钱!!!
0x0 发帖起因
因为昨天我在吾爱里发了个破解某某狙击辅助的帖子,于是我在写完帖子并发表后立即打开那个辅助来玩狙击,但没想到游戏出现了一个信息框[游戏中,不允许第三方,游戏6秒自动关闭]。。。于是我就看了下那个辅助的官方群,发现有个可以防检测的工具,于是,就不用我说了吧。
0x1 开始分析
首先打开我们的查壳工具Exeinfope来查查壳子
呦呵,终于想到加壳的重要性了吧,虽然我并不知道.nx是什么壳。
然后打开辅助
?????WTF什么鬼我打开了OD?我连OD的文件夹都还没打开,你就说我打开了OD?
这个辅助的反调试手段让我很迷呀。
后来刚刚好浏览器卡了,要不是有 定时保存内容 的功能,不然我也不发这个帖了,但我再次打开辅助的时候,又不检测OD了,什么鬼
后来我慢慢分析,才得知,他是通过遍历窗口找关键字来判断OD进程的,而吾爱论坛的网页标题的后面【吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn】这个字符串正是辅助的关键字,好新奇的反调试手段呀,不过没事,我通过浏览器的审查元素修改了吾爱网页的标题:(之后是修改的过程,不想看的可以直接跳过)
1.按下键盘的【F12】或者鼠标右键->审查元素
2.一般设置网页标题的命令是<title>这里是标题</title>,而且一般都是在网站源码的上面,所以我们来到源码的上面,修改了<title>和</title>中间的内容,我这里修改成了【wuai】,于是我们的网页标题被改成了
之后就可以运行辅助了,首先我们看界面,你们觉得这个界面像是什么网络验证呢{:301_986:}没错又是易游验证,而且又是单码登录。
接下来就轮到OD上场了,因为是有壳的,所以我们打开OD并附加辅助
(真是个新奇的反调试手段,没有打开OD辅助就说打开了,而现在打开了OD辅助居然没有检测到OD),Ctrl+G搜索401000并点"确认",右键->中文搜索引擎->智能搜索嗯~看起来WebApi和程序密钥什么的都被隐藏了,看起来我们的山寨大法将没用了,而且PUSH大法也没用,为什么呢?Ctrl+B搜索 FF 25发现上面的push没有了。
到此大部分人可能会直接回收站了,不过呢还有一种办法,首先这个辅助不是要通过卡密验证才能使用吗,那么到最后辅助还是要访问易游的数据库来进行卡密对比的,也就是说,他还是会访问网络的。(也就是说,山寨法没有死)
于是,我们使用抓包工具Smsniff(这个工具你们可以去吾爱的爱盘里下载)来对辅助进行抓包。
首先打开Smsniff,然后启动抓包,之后在辅助里点击“登录”,Smsniff成功抓包注意看!!!这个就是单码登录的API,把这个记录下来,然后呢我们在打开易游记录自己的单码登录的API(怎么操作的请看我昨天发的帖子,这里不说了)
然后打开C32Asm(和Smsniff一样,这个工具你们可以去吾爱的爱盘里下载),把辅助拖进去。
之后C32Asm会弹出一个窗口,提示是使用反汇编模式还是十六进制模式,我们选十六进制模式,然后Ctrl+F搜索,类型选"ANSI 字符串",然后输入刚才抓包抓到的API(61c8fd920cb7ebbc),点击"下一个"
,之后删除,这时C32Asm会弹出
,点击"是"即可,然后把我们自己的api复制进去,这时C32Asm会弹出
,点击"是"即可,
。之后Ctrl+S保存。
之后,我们在易游生成一个卡密(具体怎么生成就不说了,去看我之前的帖子),然后在打开辅助
。
破解就这样完成了。{:301_986:}
https://static.52pojie.cn/static/image/hrline/1.gif
由于是新人,刚学OD一个月,技术并不是很成熟,大佬们请勿喷呀。我就是写这个帖子来总结我这一个月来的学习成果
觉得不错还可以的:
评分不要钱!!!评分不要钱!!!评分不要钱!!!
由于百度账号出了问题,文件就没办法给出了,感谢大家的观看。
https://static.52pojie.cn/static/image/hrline/1.gif
原版+破解版下载链接:链接: https://pan.baidu.com/s/1hp3hG3p45Tb-uEHAw6qgmQ提取码: mxif (解压密码:www.52pojie.cn,失效私信我) zy1127 发表于 2019-3-13 16:03
或者告诉我为何抓不到包,那个辅助我是用一键脱壳脱得,pe查询是c++6,抓包软件网卡选择的那个ip是0.0.0. ...
抓不到包是不是因为https的访问啊
c++6的话应该没壳吧,你发下查壳图看看,最好用ExeinfoPE
IP要选择你上网的IP(不是百度"IP'的那个IP)
或者还有个办法,你把浏览器的代{过}{滤}理设置成127.0.0.1,然后在抓包软件也填写127.0.0.1(端口你可以随便定) LingMo 发表于 2019-3-23 08:38
抓不到包是不是因为https的访问啊
c++6的话应该没壳吧,你发下查壳图看看,最好用ExeinfoPE
关于枪火游侠辅助(游侠月影辅助)的破解问题
https://www.52pojie.cn/thread-898308-1-1.html
(出处: 吾爱破解论坛)
这是帖子链接 有脱壳信息大佬可以考虑出个教程 这个验证有挺多辅z用的 感谢大佬分析 可能很多人会说为什么突然要用C32Asm呀,投机取巧。
不知道为什么,OD不能跟进数据,而我试下用C32Asm来搜索api的时候,发现可以搜索,于是就用C32Asm了
感谢大佬 dalao ,6666 我裤子都脱了你给我说这个? 为啥不去爆破 ennnn我能说那个nx是难寻大神写的验证吗?你为什么不把原程序发出来呢? 不不不评分要钱~~~~~~{:301_997:} 大神 没事用用试试看效果好不好