吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 7867|回复: 15
收起左侧

[分享] 分析一款外挂

[复制链接]
meiguang 发表于 2010-8-8 16:18
本帖最后由 meiguang 于 2010-8-8 16:24 编辑

新传奇外传.exe这个是充值登陆器
启动新传奇外传的MIR1.DAT,然后把Butler.dll注入到里面
这个是验证账号和大区的。
关键地方被VMP的SDK搞过,

这个是DLL文件用的算法
ADLER32 :: 00064D09 :: 00465909
The reference is above.
ADLER32 :: 00064DD2 :: 004659D2
The reference is above.
ADLER32 :: 00064DDF :: 004659DF
The reference is above.
BASE64 table :: 000F0804 :: 004F1404
Referenced at 0046B60C
Referenced at 0046B62D
Referenced at 0046B650
Referenced at 0046B665
Referenced at 0046B6A2
Referenced at 0046B6C1
Referenced at 0046B6EE
Referenced at 0046B709
BASE64 table :: 000F0F88 :: 004F1B88
Referenced at 004C7956
Referenced at 004C7A3B
Referenced at 004C7A7B
Referenced at 004C7A9F
CRC32 :: 000ED34C :: 004EDF4C
Referenced at 00465C55  0065055
Referenced at 00465C60  0065060
Referenced at 00465D80  0065180
Referenced at 00466056  0065456
DES [key schedule] [char] :: 000EFFB4 :: 004F0BB4
Referenced at 0046A3D1
DES [sbox] :: 000EFFFC :: 004F0BFC
Referenced at 0046A824
LockBox RsaEncryptFile :: 0006A210 :: 0046AE10
The reference is above.
LockBox RsaEncryptFile :: 0006A2B4 :: 0046AEB4
The reference is above.

ADLER32 和CRC32好像是用来校验内存的,这个能检测出关键地方和API的INT3断点,内存断点,硬件断点。
注册通信是用DES加密的,密尺也找不到。
登陆进去新传奇外传的时候 ,等到刚登陆进去有服务器发的验证码的时候,这个挂开始验证。
发包发2个包
第1个包是52大小(16进制) ,第2个包是40大小(16进制),然后从服务器收到1个包(52大小(16进制))。
发的第2个包估计是密尺,然后服务器用来解密的。
跟WSARECV发现被检测 ,而且加了VMP的SDK,奶奶的 看了头大。
然后进去用的时候 验证地方有很多处内存检测,
基本所有的检测都是Butler.dll的LOCKTIMER里面的,这个LOCKTIMER是300毫秒。

QQ截图未命名.png
这个查询的用BP SEND断的下来,
但是堆栈里面什么都没有,就个SEND函数。555

QQ截图未命名.png
这个充值的断不下来了,555。
进去游戏要是验证通过了,他会有提示:什么自动蓝字每过30秒发什么网络稳定性检测。
要是不通过什么通知都没有。
我搞了半天搞不定,欢迎大家来谈论。(应该不违规吧
还有这个\Data下面的S.dat里面有3行。
貌似是:电信1区啊,网通1区啊。外挂的下载网页的IP。
貌似是BASE64加密的。
下载地址
http://www.brsbox.com/filebox/down/fc/792a26bd45c50dfa923b16d3350d9763

免费评分

参与人数 1热心值 +1 收起 理由
M0nster + 1 论坛内支持技术交流

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

sky_line 发表于 2010-8-8 16:26
天呐~~看着头疼。
jjpp001 发表于 2010-8-8 16:29
553261072 发表于 2010-8-8 16:34
Ooops! 发表于 2010-8-8 16:35
晕了  怎么…………
liuguiping00 发表于 2010-8-8 16:38
加油!!!
yvcd125 发表于 2010-8-8 16:41
我也喜欢破解 搞的我整天头晕晕的
boteli 发表于 2010-8-8 16:50
看了真的是头大了。。
qq20048888 发表于 2010-8-8 17:11
看到VMP直接飘过..! 望大虾门出多点关于VMP的教程。!
 楼主| meiguang 发表于 2010-8-8 20:01
没那位大大继续啊?
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-22 22:31

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表