外挂破解一直以来都是热门话题,毕竟外挂是一种很特殊的东西,为了防止被破解掉,外挂一般都会加上猛壳,让人无法下手。不过有时候外挂并不是那么神秘,灵活的思考对破解是很有帮助的。今天小生就献丑了,说说我的破解过程。(注:为了方便我都是在V3.2b上取代码和截图)
二、破解过程
7月18日 第一天
听说99奇迹19日0时开始收费,心里确实不爽,于是决心研究一下这个外挂,首先想到的当然是常规的方法。用PE打开99mu.exe,可以看到加壳类型为ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov,习惯性的用插件查看OPE,结果并没能得到我想要的入口点地址,如图1。
我个人经验,用ASProtect 1.2x加的壳都能找到OEP的,估计这个壳比较新,或者被手工修改过的。看来要手工找OPE脱壳了。不过这壳确实挺麻烦的,脱出来了,可IAT中有十多个API函数没办法修复,跟了一天都没结果。
实在没办法了,第一天以脱壳失败告终。
7月19日 第二天
今天没外挂用了,不死心,决定再突破一下。
用OD载入99mu.exe,用插件隐藏调试标志(如图2),
在调试设置中忽略全部异常。载入后会停在以下代码处:
00401000 9> 68 01006C00 push 99mu.006C0001 //载入后停在这里
00401005 E8 01000000 call 99mu.0040100B
0040100A C3 retn
0040100B C3 retn
0040100C D16B 84 shr dword ptr ds:[ebx-7C],1
0040100F A8 CE test al,0CE
00401011 98 cwde
00401012 9D popfd
直接F9,让程序运行起来(如图3),运行过程中有两次警告都不用理它。可以看到我们还在99mu这个模块中,这对我们来说是个好事,试了试常规断点:
bpx GetDlgItemText
bpx GetDlgItemInt
bpx GetWindowText
bpx GetWindowWord
bpx GetWindowInt
没一个能断下来,郁闷,试试万能断点吧(OD下万能断点方法请参看2004年4月的X档案),N麻烦,不过对于我这样的菜鸟很实用。下短点“BPX *”,在所有命令上下断,很直接,程序马上就给OD断下来了,现在就要取消一些断点了,因为外挂的热键有F9所以不能用F9运行程序,要用鼠标点工具栏上的运行按键才可以,现在点一次运行按一次F2,取消一些程序加载时的断点,直到我们能随便移动外挂窗口而不被OD断下来为止。
好的,现在我们在外挂的“99密码框”中随便输入几个字符,比如说78787878787878这样的,有助于跟踪的字符。然后点登陆,程序又被断下来。然后的过程很烦,一个CALL就断一次,我就得判断一次这个CALL是否对破解有用,跟得头都大了,当然,还好的是我来到了下边的位置:
004195FA 68 54EC4300 push 99mu.0043EC54 ; ASCII "%d.%d.%d.%d" //IP地址的格式
004195FF 52 push edx
00419600 E8 E1720100 call 99mu.004308E6 ; jmp to mfc42.#2818
00419605 83C4 18 add esp,18
00419608 8B45 08 mov eax,dword ptr ss:[ebp+8]
0041960B 50 push eax
0041960C E8 297B0100 call 99mu.0043113A ; jmp to WS2_32.inet_addr
00419611 8B8E 48030000 mov ecx,dword ptr ds:[esi+348] //在这里可以看到IP
00419617 8941 34 mov dword ptr ds:[ecx+34],eax
看004195FA那里的%d.%d.%d.%d像什么?对的,像IP的格式,放慢速度,在0041960C这个CALL就是增加IP地址的函数,在00419611这里我们可以看到寄存器里外挂验证服务器的IP。看到这里就有信心了,跟下去,下边就是把我们的游戏帐号进行N次运算的过程,本来打算研究研究的,想通过修改验证服务器IP,然后根据算法写出个服务端,进行单机验证的,不过最后放弃了,毕竟我是菜鸟,有没耐心。决定碰碰运气,找验证的地方改跳转吧。继续向下看,没走多远,就遇到了一个跳转,代码如下:
00419723 E8 881E0100 call 99mu.0042B5B0
00419728 85C0 test eax,eax
0041972A 75 29 jnz short 99mu.00419755 //这个跳转值得研究
0041972C 8B8E 48030000 mov ecx,dword ptr ds:[esi+348]
00419732 E8 591E0100 call 99mu.0042B590
00419737 51 push ecx
00419738 8BCC mov ecx,esp
0041973A 8965 E0 mov dword ptr ss:[ebp-20],esp
0041973D 68 2CEC4300 push 99mu.0043EC2C ; ASCII "can not pass authen" //这里很有意思
00419742 E8 B7710100 call 99mu.004308FE ; jmp to mfc42.#537
00419747 8BCE mov ecx,esi
00419749 E8 52FBFFFF call 99mu.004192A0
本来对这个跳转没怎么注意的,不过看到“ASCII "can not pass authen"”字样我就乐了(图4),有什么说的,这个就是验证的地方了。把0041972A处的jnz short 99mu.00419755 改为je short 00419755 ,试试看,不出所料验证通过了。
有了这些宝贵的资料,现在我们要做的就是怎么修改这个跳转的问题,因为没脱壳,不能用改代码的方法 ,不要说次次都开OD来改吧,这样太恐怖了。其实动态修改的方法我早想好了,做个内存补丁就OK了,请出keymake1.73,从菜单中的“其他→制作内存补丁”开始制作内存补丁,把“等到进程闲置时修改内存”给钩上,然后添加要修改的内存数据,修改地址就是0041972A这个跳转,由75 29可以知道数据长度为2,原始指令就是75 29了,修改指令为74 29,如图5,然后生成补丁就OK了。今天的成果不错哦。
7月20日 第三天
今天下午1点,99奇迹更新3.2b版,呵呵,没什么说的,抄家伙,破掉它。直接用OD载入,让程序运行起来,搜索字符参考,找到“can not pass authen”,双击它,然后向上看,明摆着一个跳转指令在哪,动手,直接制作内存补丁。OK,整个过程不用三分钟,怎么样,爽吧?
9828
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
