游戏网络架构逆向分析--2

最新推荐文章于 2023-12-19 20:23:51 发布
最新推荐文章于 2023-12-19 20:23:51 发布
阅读量398 收藏
点赞数 1
分类专栏: C++测试角度 文章标签: c++ 网络 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55875295/article/details/124370052
版权

游戏底层功能对接类GameProc的实现

这是一个函数的虚函数,这个ecx和发送数据&接收数据都有很大关系,这里截取主要就是要拿到ECX,其实更好的方法就是去找它的基址,但基址不好分析,有一大堆函数指针和虚函数,还和Lua有交互,找基址就套浪费时间了。
edx就是这里虚表的地址

可以直接在虚函数这做一个HOOK,通过改虚表来直接调  直接改这 10617c90的数据就能改变eax结果,就可以跳到任何想去的地方

这个类原型名字就叫 GameWinSock  ::Connect(char* ip, int port)  很容易看出 返回值是bool

 vtable[0x34 / 4] = (unsigned)&GameWinSock::OnConnect;
这句在编译器里是不能直接强转
如果是个普通函数就可以这么直接干了,但这个是类的成员函数。

先试试用类的函数指针能不能得到它来赋值
proc _p = &GameWinSock::OnConnect;
    vtable[0x34 / 4] = (unsigned)p;
这样也不行。

只好来个骚操作了:

union
    {
        unsigned val;
        bool(GameWinSock::* _proc)(char*, unsigned);
    }vproc;

    vproc._proc=&GameWinSock::OnConnect;
    vtable[0x34 / 4] = vproc.val;

用联合体直接安排他

修改虚表要注意访问权限 
用 VirtualProtect

hook的时候发现网络模块还没加载,就手动帮他加载下

 截取成功

#pragma once
class GameWinSock
{
	typedef bool(GameWinSock::* PROC)(char* ip, unsigned port);
public:
	static PROC _Connect;
	bool OnConnect(char* ip, unsigned port);

};




#include "pch.h"
#include "GameWinSock.h"
#include"extern_all.h"

GameWinSock::PROC GameWinSock::_Connect{};

bool GameWinSock::OnConnect(char* ip, unsigned port)
{
	WinSock = this;
	MessageBoxA(0, ip, ip, MB_OK);
	return (this->*_Connect)(ip,port);
}

#include "pch.h"
#include "GameProc.h"
#include"extern_all.h"


bool _OnConnect(HOOKREFS2)//回调
{
	//虚函数表做HOOK
	//截取ECX -》 winsock指针

	unsigned* vtable =(unsigned*) _EDX;
	//vtable[0x34/4]= (unsigned)&GameWinSock::OnConnect;
	union
	{
		unsigned val;
		bool(GameWinSock::* _proc)(char*, unsigned);
	}vproc;

	vproc._proc=&GameWinSock::OnConnect;
	InitClassProc(&GameWinSock::_Connect, vtable[0x34 / 4]);
	DWORD oldPro,backPro;
	VirtualProtect(vtable, 0x100, PAGE_EXECUTE_READWRITE, &oldPro);//修改访问权限
	vtable[0x34 / 4] = vproc.val;
	VirtualProtect(vtable, 0x100, oldPro,&backPro);//恢复访问权限


	return true;
}


GameProc::GameProc()
{
	
	//类的构造
	hooker = new htd::hook::htdHook2();
	Init();
	InitInterface();
}

void GameProc::LoadBase()
{
	LoadLibraryA("fxnet2.dll");
}

void GameProc::Init()
{
}

void GameProc::InitInterface()
{
	LoadBase();
	//10617046
	hooker->SetHook((LPVOID)0x10617046, 0x1, _OnConnect);
}

游戏发送数据包接管 

 

发送数据的函数也是通过ecx,依然可以通过虚函数表做。

进去看看,很容易能看出也是一个bool的返回值
原型:bool GameWinSock::Send(char* buff, int len);

直接还原函数  看看数据包:试着调用


 

char buf[] = {
		0x0A,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,
		0x00,0x00,0x00,0x00,0x00,0x04,0x00,0x02,0x01,0x00,0x00,0x00,0x02,0x01,0x00,0x00,
		0x00,0x07,0x0C,0x00,0x00,0x00,0x31,0x00,0x31,0x00,0x31,0x00,0x31,0x00,0x31,0x00,
		0x00,0x00,0x05,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00
	};

	WinSock->OnSend(buf, sizeof(buf));

成功通过封包来发送消息

 

	VirtualProtect(vtable, 0x100, PAGE_EXECUTE_READWRITE, &oldPro);//修改访问权限

	vproc._proc = &GameWinSock::OnConnect;
	InitClassProc(&GameWinSock::_Connect, vtable[0x34 / 4]);
	vtable[0x34 / 4] = vproc.val;

	vproc._proc = &GameWinSock::OnSend;
	InitClassProc(&GameWinSock::_OnSend, vtable[0x3C / 4]);
	vtable[0x3C / 4] = vproc.val;

	VirtualProtect(vtable, 0x100, oldPro,&backPro);//恢复访问权限






GameWinSock::PROC GameWinSock::_OnSend{};




bool GameWinSock::OnSend(char* buf, unsigned len)
{
	/*
	监控
	*/
	return (this->*_OnSend)(buf,len);
}

 实现其实和Connect没啥区别。

游戏接收数据包接管

接收数据的函数就没办法用虚表来搞了,因为优化/封装的缘故,用的eax来代替了ecx,就要想别的办法

就要用汇编去传eax或者搞个函数封装一下,不过又涉及到两个参数的传递,可能会把eax用掉

调用的时候就尴尬,用eax做了this指针  用汇编倒是最简单的

也很明显 返回值是个bool   

 

在这个点做HOOK  到时候就能截取到 我们自己模拟的消息了

还得直接hook到返回值到这个ret这
 

截一个说话的数据 

直接试试

char buf[] = {
    0x1E,0x06,0x00,0x06,0x05,0x00,0x00,0x00,0x63,0x68,0x61,0x74,0x00,0x02,0x01,0x00,
    0x00,0x00,0x07,0x08,0x00,0x00,0x00,0x1F,0x77,0x1F,0x77,0x31,0x00,0x00,0x00,0x07,
    0x6E,0x00,0x00,0x00,0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,
    0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,
    0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,
    0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,
    0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,
    0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,
    0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,0x33,0x00,
    0x00,0x00,0x02,0x01,0x00,0x00,0x00,0x02,0x01,0x00,0x00,0x00
    };
    WinSock->OnRecv(buf, sizeof(buf));

成功 

bool _OnRecv(HOOKREFS2)//回调
{
	unsigned* _esp = (unsigned*)_ESP;
	_EAX = WinSock->RecvPoint;
	return WinSock->OnRecving((char*)_esp[1], _esp[2]);
}



hooker->SetHook((LPVOID)0x10618480, 0x1, _OnRecv,(LPVOID)0x10618502);

	InitClassProc(&GameWinSock::_OnRecv, 0x10618480);


bool GameWinSock::OnRecving(char* buf, unsigned len)
{
	return true;
}

bool GameWinSock::OnRecv(char* buf, unsigned len)
{
	return (this->*_OnRecv)(buf,len);
}

这样就可以了 就是浪费了个ecx..
这个游戏也存在很多问题,比如他用明文字符串直接来打日志,直接就被我们逆向分析的给直接看到了,应该直接用内部编码来规范

而且数据发送阶段 未对数据进行加密,不能有效对抗中间人攻击,别抓个包就寄了,这个游戏直接截取send函数就直接能看到用户的账号密码,基本的加密还是必要的就算只是随便异或了下

关键代码也可以用VM虚拟机加密

#A#
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
逆向基础知识(二)
锋刃科技的博客
02-18 6052
C++基础--数据存储格式(二) 类的存储格式 类与结构体的存储格式类似,其不同之处在于类中可以有函数(方法),但函数本体并不会占用类中的存储空间,如果函数中没有任何成员则函数占用一个字节。 类中有一种特殊的函数叫做虚函数,此函数在实例被创建时被绑定在对象中。无论其类型如何变化,只要类型存在该函数,均调用的是被创建时使用的那个类的实体。 classMyClass { public: virtualintmethod() { return0; }; }; classMyClas...
游戏网络架构逆向分析--1
m0_55875295的博客
04-23 3566
测试需求和拆解 网络游戏客户端与服务端协同形式: 一般分为两种情况: UI操作->吃药-> 生命值增加-> 发送服务器 (发送结果型) UI操作->吃药->发送请求吃药->服务器验证->服务器完成吃药->客户端同步显示 发送结果型: 首先在界面里按了吃药的操作,按下吃药的操作以后,生命值增加,客户端会看有没有药水,有没有cd 能不能吃,生命值就增加了,然后把这个血量发送给服务器,但发送给服务器前的这个是可以改的比如直接改成999999,这不就无敌了..
游戏逆向】FPS网络游戏自动瞄准漏洞分析以及实现
douluo998的博客
02-05 8079
因为游戏分为鼠标X和鼠标Y两种坐标,鼠标X即左右的坐标,鼠标Y为上下坐标,由于左右坐标在游戏中转一圈无法确定坐标数据是否增大还是减小,所以我们通常分析鼠标的Y,即上下坐标。在这里解释一下为什么我们需要填入23E3500,因为鼠标Y地址是: 23E3588,鼠标X在附近的位置,所以我们存在一个取值范围,这个范围不是很大,所以我们填入了一个估值,填入后定义结构体,一切回车默认即可。其中,通过我们的分析,得知:0x23E20D4这个地址存放的使我们自身的数组的下标,所以,表达式可转换为。
游戏逆向
lei35151的专栏
04-09 803
协议明文还原 http://bbs.pediy.com/showthread.php?p=1219542
游戏启动流程的逆向分析与多开的实现
m0_55875295的博客
04-17 3027
游戏启动的一般架构 登录器程序 启动游戏主程序 游戏中完成登录 登录器完成登录 传送token至游戏客户端 游戏根据token 登入账号 客户端直接启动 为什么不能直接启动呢?而必须要通过登录器来启动? 网络游戏面对很多的情况。 游戏的版本,登录器启动的情况下就可以验证一下版本 版本不行就可以更新一下,自己更新自己是不太好,当然也有一种就是热更新,但是热更新中间也是有跳板来做的,更新的文件,如果是更新这个程序,热更新也是很难去操作的 主程序可能会被别人破坏 如果是做了硬件补丁 登录器可以把文件读
cpp-Diablo暗黑破坏神游戏逆向工程
08-16
1. **游戏引擎架构**:游戏的渲染、物理、AI、网络同步等关键模块的设计与实现。 2. **资源管理**:如何高效地加载、存储和管理游戏的图像、音频、动画等资源。 3. **数据结构与算法**:如物品系统中的背包设计、...
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析
最新发布
05-26
在"BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)"这个挑战中,参赛者需要对名为"easywasm.wasm"的WASM文件进行逆向工程,理解其内部逻辑并可能找到隐藏的漏洞或解决方案。 WASM的主要特点包括: 1...
samp-server-idb
04-29
在SAMP-server-idb的上下文中,逆向工程可能涉及识别服务器的网络通信协议、处理游戏逻辑的函数、检查安全性等方面。这对于开发自定义服务器插件、优化性能或开发反作弊解决方案至关重要。 标签中的"SAMP-server"是...
网络游戏-利用了网络游戏系统.zip
09-20
为此,服务器通常会对客户端发送的数据进行验证,同时,游戏代码也需要加密,防止被逆向工程分析。 最后,网络游戏往往需要大量的内容更新和维护。开发者通常会使用版本控制工具(如Git)管理代码,持续集成/持续...
Python-Free3DSPrimaryEntrypoint112
08-10
这个项目涉及的技能包括但不限于Python编程、3DS系统架构理解、漏洞分析与利用、以及可能的固件逆向工程。对于想要深入研究3DS系统或者对游戏机破解有兴趣的用户,这是一个值得学习和探索的资源。同时,需要注意的是...
易道云学院htd开发的hook库!!vs2019使用一键安装!
04-05
易道云学院htd开发的hook库!!vs2019使用一键安装!
cocos2d lua游戏逆向 打印日志(通杀)
flygle~的博客
06-23 3543
lua 脚本解密 通杀打印
45.网游逆向分析与插件开发-代码保护壳的优化-逆向分析隐藏壳代码解析不正常的BUG
计算机王的博客
12-19 851
游戏安全、逆向、网游攻防、c++
[网安实践III] 实验3.逆向分析
LostUnravel的博客
11-09 5255
网安实践III - 实验3.逆向分析 1 流量分析 借助Wireshark抓取Android模拟器中“QQ同步助手”登录和同步数据时的流量,回答以下问题: (1)筛选流量中,对应域名 "mpssync.3g.qq.com" 的IP地址; (2)同步报文的TCP流量源IP:端口,目的IP:端口; (3)分析同步流量的数据特征,并根据这些特征,能否获取报文的一些信息,例如密文长度信息; (4)保存并上传流量分组文件。 mpssync.3g.qq.com 的IP地址: 183.3.225.36 和 113
滴水逆向软件调试
若面朝大海边竹妮春暖花开的博客
10-27 1405
一、调试对象 分为两种:创建进程和附加进程 创建进程为将未运行的程序创建进程 附加进程为将运行中的进程附加 对调试器做的事 DebugActiveProcess调用了DbgUiConnectToDbg,然后调用了ntdll.dll模块中的DbgUiConnectToDbg DbgUiConnectToDbg调用ZwCreateDebugObject,进入0环,创建_DEBUG_OBJECT...
游戏逆向Lua游戏逆向及破解方法介绍
douluo998的博客
05-03 7539
随着手游的发展,越来越多的Cocos-lua端游开发者转移到手游平台。Lua脚本编写逻辑的手游也是越来越多,如梦幻西游、刀塔传奇、开心消消乐、游龙英雄、奇迹暖暖、疾风猎人、万万没想到等手游。随着Lua手游的增加,其安全性更值得关注,在此归纳一些常用的分析方法,同时介绍一些辅助工具。Android平台的apk包可以直接解压,找到./lib目录下的so逻辑模块,一个个分析其so,寻找是否内嵌lua引擎(一般情况下,最大的so最有可能内嵌lua引擎)。
解析android手游lua脚本的加密与解密(番外篇之反编译的对抗)
热门推荐
教程大咖的CSDN创作中心
08-30 3万+
前言   去年在看雪论坛写了一篇《浅析android手游lua脚本的加密与解密》的精华文章,今年写一篇番外篇,将一些lua反编译对抗的内容整合一起,并以3个实例作为说明(包括2018腾讯游戏竞赛和梦幻西游手游相关的补充),文章开头还增加了相关工作,方便大家学习lua逆向时使用。本文由3篇文章整合成1篇,所以内容上面有点多,有兴趣的朋友需要点耐心,当然也可以跳着看。最后,请大佬们不吝赐教。最最后,...
【JavaScript 逆向】webpack 之某妹游戏登录逆向
Yy_Rose的博客
08-13 3794
RSA 加密逆向,及 webpack 改写
cve-2020-0796漏洞逆向分析
11-21
CVE-2020-0796漏洞,也被称为"SMBGhost",是一个影响微软Windows操作系统的严重漏洞。该漏洞存在于Windows 10版本1903和1909...此外,逆向分析还有助于提高安全分析人员的能力和知识,进一步提升网络安全的整体水平。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

#A#

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值