吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 4895|回复: 52
收起左侧

[原创] 新手某联盟辅助的一次逆向

  [复制链接]
anecho 发表于 2023-4-13 18:33
新手第一次发帖,本次主要是分享逆向一款市面上的某联盟辅助方法。
1681369350904.png

首先呢是基本操作,先查壳,没壳!别激动,没壳裸奔的大部分是高手。先尝试运行软件,弹出提示框,那就可以用MessageBoxA下段。
1681369436625.png

ok成功断下,断下后就可以按F2将断点删除了,为什么后面会说到。可以看到od标题显示当前位置处在模块-user32,说明处在系统领空,这时候的任何操作都无效。
1681369967328.png

F8往下走,弹出错误提示点确定继续往下走。
1681370109057.png

过了retn后返回上一层,可以理解为这一层的程序是上一层的call的内部,retn后就返回到上一层的call。由此可见,刚才的程序是从这个call内部,但此时标题显示处在模块-krnln,还是在系统内无法改动。
1681370281770.png

继续F8往下走,一直走,直到标题提示模块为程序的名字时,说明来到了程序领空,这里就可以进行修改。很明显,上面那个call就是我们所谓的关键call,我们给他打上注释(快捷键是英文输入下的冒号),问为什么是关键call,很明显这个call的下一行也就是我们进来这个位置直接给出了错误提示,那不就说明这个提示是上面的这个call程序运行后给出的结果吗,是不是说明我们只要跳过这个call就能够不弹窗了呢?
1681377315897.png

我们往上找有没有能跳过这个call的判断,往上看到一个jmp可以跳过,意思就是无条件跳转,既然可以无条件跳转那不是直接跳过错误提示窗了吗,显然这个jmp被其他跳转跳过了。果然上面一个jnz就直接跳到刚才的jmp下面将他略过了。
1681371740696.png

继续往上找,发现在刚才的jnz上面又一个je,这个je直接跳过了错误提示框,那就简单了,说明这个je现在没有跳,如果他跳了就不会错误弹窗了,只要将je改成jmp不就能跳了吗?我们在je的位置F2断点,重新载入运行程序,假码登录,然后错误弹窗来到我们刚才下断点的位置,我们将je按空格改成jmp。
1681371996969.png

F8往下走,直接跳到了错误弹出框的下面,绕过了错误提示。
1681372220159.png

F8继续往下走看程序是否能够运行起来。到这个call发现动不了了,我们按工具栏的"t"键跳转到进程窗口,直接鼠标右键"Resume All Threads",中文意思就是唤醒所有进程。唤醒后就直接回到刚才的cpu界面了,又可以继续F8了。
1681372350226.png

一直F8直到软件来到了这里,在这个界面一直无限循环,而且标题为模块-krnln处在系统领空无法修改,到这里就宣布失败了。
1681372783059.png

在这个过程中花了好几天时间去调试,也许这是作者所设置的一个坑,当然这也只是我的猜测。

既然不行,那就对整段程序进行分析,首先是来到段首,段首就一直往上找到的第一个retn下面第一段代码,也就是上一段程序的尾部retn下面,就是push ebp这里,我们在这下断点。刚才提到将MessageBoxA的断点处删掉,其实就是为了现在重新运行程序直接来到我们的段首。

重新载入软件后运行软件,直接断在了我们刚才下断点的段首,F8往下走,发下一个很大的jnz跳转,跳过了错误提示框,甚至是快跳到程序尾部了,这样的跳转很大程度上实现跳转程序会报错,正好他也没跳,我们也不管。

1681370984772.png

我们到发送数据这个call这卡住了,重复上面的步骤唤醒进程,继续往下F8单步走,小跳不用管,直到走到我们先前标记的那个可以跳过错误提示框的je那里,将他改为jmp跳过错误提示框。
1681371996969.png

继续往下走,直到走到"sete al"这里,发现了下面提示"条件为假   FALSE",到这里终于明白了,原来作者在这里还有一个判断,不管他是怎样运作的,既然提示为假,那不妨让他为真试试。
1681373865024.png

于是按空格修改为"setne al",继续单步,


终于弹出了我们的软件界面,到这里,教程也就结束了。
1681369389788.png

事实上我们的工作还远远没有结束,当安装好以后,在运行游戏时发现根本没用,是为什么?我们发现一个 "D:\xxgame\XX联盟\game\1.dll" 文件,用charles搭配proxifer对这个dll抓包,发现在游戏进入后的几秒该dll进行了数据交互,其交互内容证实了这个dll进行了二次验证,查壳该dll也没壳。

由于我对dll实在没有太深入的研究,加上网上对dll的逆向又实在少的可怜,因此发此贴以来是分享一下自己研究的成果,二来是想向各位大佬取取如何逆向dll的经。
1681374367297.png

免费评分

参与人数 12吾爱币 +14 热心值 +11 收起 理由
guobei + 1 + 1 我很赞同!
wasdzjh + 1 + 1 我很赞同!
Hmily + 5 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
vry + 1 我很赞同!
安道尔的鱼 + 1 + 1 我很赞同!
gu53770 + 1 + 1 用心讨论,共获提升!
NaK + 1 + 1 感谢
LAOBILAXI233 + 1 我很赞同!
muyu1314520 + 1 我很赞同!
hxy113 + 1 + 1 我很赞同!
安兹乌尔恭! + 1 + 1 用心讨论,共获提升!
louyu712 + 1 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| anecho 发表于 2023-4-14 12:18
https://imlike.lanzoul.com/b0bzsaa0f
密码:17kz

软件地址发一下,各位可以拿去研究一下
qq87700906 发表于 2023-4-15 19:56
nianffeng 发表于 2023-4-15 18:07
anecho 发表于 2023-4-15 11:44
这个发包链接是w.eydata.net,确实是易游的,只是在山寨的时候,有一个api是自创的,里面有一个p变量未知

你可以跟一下他登录call,我现在没看了更新了之后,之前还叫无心的时候,我看过,他数据有appkey之类的,百宝云我看过对接源码也是类似的格式,但至于发包链接是易游我也不清楚了,
sundeheng 发表于 2023-4-14 11:59
空格战神
揪心CC 发表于 2023-4-14 15:50
应该是有服务器第二次验证  以前也有这个差不多的东西  破解登录 然后进去没效果 有人说服务器还要在验证一次
超级小超超99 发表于 2023-4-14 16:38

感谢分享,没看懂
zhiming001 发表于 2023-4-14 21:21
可以教我吗
LAOBILAXI233 发表于 2023-4-14 21:27
应该是有服务器二次验证然后下发云dll
X14 发表于 2023-4-14 21:38
有验证啊,无法跳过
 楼主| anecho 发表于 2023-4-14 22:00
LAOBILAXI233 发表于 2023-4-14 21:27
应该是有服务器二次验证然后下发云dll

这个dll在游戏目录中可以找到的,问题是如何破解这个dll的验证
 楼主| anecho 发表于 2023-4-14 22:01
夏驰 发表于 2023-4-14 15:33
感谢分享,没看懂

这个东西实际操作一下就懂了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-22 19:12

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表