47.网游逆向分析与插件开发-代码保护壳的优化-修改随机基址为固定基址

已于 2024-07-29 00:36:42 修改
阅读量1.3k 收藏 17
点赞数 14
分类专栏: 网游逆向分析与插件开发 文章标签: windows 网游逆向 c++
于 2023-12-22 15:56:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36301061/article/details/135154674
版权

免责声明:内容仅供学习参考,请合法利用知识,禁止进行违法犯罪活动!

码云地址(master分支):https://gitee.com/dye_your_fingers/sro_-ex.git

码云版本号:c90bfbd6bd91f504b5e981558a9b2dd73a93ac88

代码下载地址,在 SRO_EX 目录下,文件名为:SRO_Ex-修改随机基址为固定基址.zip

链接:https://pan.baidu.com/s/1W-JpUcGOWbSJmMdmtMzYZg

提取码:q9n5

--来自百度网盘超级会员V4的分享

HOOK引擎,文件名为:黑兔sdk.zip

链接:https://pan.baidu.com/s/1IB-Zs6hi3yU8LC2f-8hIEw

提取码:78h8

--来自百度网盘超级会员V4的分享

以 网游逆向分析与插件开发-代码保护壳的优化-对壳数据进行加密与解密-CSDN博客 它的代码为基础进行修改

遇到客户端随机基址的问题改怎样处理?这个随机基址的东西是可以给它调成固定基址的,Visual Studio在编译的时候是有一个选项的,可以把随机基址取消掉它就变成固定基址了,对于一个可执行的exe文件来说随机基址变成固定基址是对它没有影响的,exe文件相当于它是第一个启动的,内存空间它随便用,只要不调其它的,默认400000的地址没人会跟它抢,所以这就没有任何问题,具体怎样调?在exe文件里的文件头里有一个字段,如下图,image_file_hjeader.Characteristics它是一个short类型有16bit,每一个bit分别对应下图中的 #define,也就是计算机中只能写0或1,如果16bit中第二个位置的值是1表示#define image_file_executable_image是可执行文件,如果值是0表示不是可执行文件这样理解这

7ae50ad3aeee4b698b96faa928995ea9.png

强制为固定基址,对于dll文件无效,因为dll文件它自己不能决定,因为dll编译时固定的内容可能会被其它dll抢占了,所以它是没有用的,只能对应用程序(exe文件)有用,因为exe文件是第一个加载不存在内存空间被抢问题

2ff93bc13eb94118952e8d82d7b33f1e.jpg

PEProtecter.cpp文件的修改,修改了 LoadFile函数

#include "pch.h"
#include "PEProtecter.h"

bool PEProtecter::LoadFile(wchar_t* _file)
{
    auto hFile = CreateFile(_file, GENERIC_READ|GENERIC_WRITE, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
    
    if (hFile == INVALID_HANDLE_VALUE) {
        return false;
    }

    DWORD dRead;
   filelen = GetFileSize(hFile, &dRead);
    
    if (filelen < 1)return false;
    if (filelen > _datal) {
        if (_data)delete[]_data;
        _data = new char[filelen];
        _datal = filelen;
    }
    if (ReadFile(hFile, _data, filelen, &dRead, NULL)) {

        PIMAGE_DOS_HEADER dosHeader = (PIMAGE_DOS_HEADER)_data;
        PIMAGE_NT_HEADERS32 ntHeader32 = (PIMAGE_NT_HEADERS32)(_data + dosHeader->e_lfanew);
        SecCount = ntHeader32->FileHeader.NumberOfSections;
        SecArrys = (PIMAGE_SECTION_HEADER)(sizeof(IMAGE_NT_HEADERS32) + (unsigned)ntHeader32);
        Base = ntHeader32->OptionalHeader.ImageBase;
        /**
          强制为固定基址,对于dll文件无效,因为dll文件它自己不能决定,因为dll编译时固定的内容可能会被其它dll抢占了,所以它是没有用的
          只能对应用程序(exe文件)有用
        */
        ntHeader32->FileHeader.Characteristics = ntHeader32->FileHeader.Characteristics | IMAGE_FILE_RELOCS_STRIPPED;
        CloseHandle(hFile);
        if (filelen > _dataEntryl) {
            if (_dataEntry)delete[]_dataEntry;
            _dataEntry = new char[filelen];
            _dataEntryBegin = _dataEntry;
            _dataEntryl = filelen;
        }
        return true;
      
    }  

    delete[] _data;
    _data = nullptr;
    filelen = 0;

    return false;
}

unsigned PEProtecter::VATofoa(unsigned va, unsigned _base)
{
    DWORD uBase;
    _base == 0 ? uBase = Base : uBase = _base;
    DWORD rva = va - uBase;

    for (int i = 0; i < SecCount; i++) {
        IMAGE_SECTION_HEADER tempSecArr = SecArrys[i];
        if ((rva > tempSecArr.VirtualAddress)&&(rva < tempSecArr.VirtualAddress + tempSecArr.SizeOfRawData)) {
            DWORD offset = rva - tempSecArr.VirtualAddress;
            return offset + tempSecArr.PointerToRawData;
        }
    }

    return 0;
}

char* PEProtecter::ReadDataByVa(unsigned va, unsigned _base)
{
    unsigned index = VATofoa(va, _base);

    return _data + index;
}

PEProtecter::~PEProtecter()
{
    if (_data) {
        delete[] _data;
        _data = 0;
    }

    if (_dataEntryBegin) {
        delete[]_dataEntryBegin;
        _dataEntryBegin = 0;
    }

    if (_dataHeadBegin) {
        delete[]_dataHeadBegin;
        _dataHeadBegin = 0;
    }

}

CString PEProtecter::DAsm(unsigned va, unsigned len, unsigned _base)
{
    CStringA _output;
    CStringA _tmp;
    char* buffer = ReadDataByVa(va, _base);
    DISASM disasm;
    memset(&disasm, 0, sizeof(DISASM));
    disasm.EIP = (UIntPtr)buffer;
    disasm.VirtualAddr = (UIntPtr)va; // 根据这个值把 jmp、call这种跳转指令的地址重新计算,如果它的值是0表示不重新计算
    disasm.Archi = IA32;// 指令集类型,1表示32位、0表示64位,AMD64
    disasm.Options = MasmSyntax;// 汇编语法、指令形式,如masm、nasm
    
    int _len;

    while (!disasm.Error)
    {
        disasm.SecurityBlock = (UIntPtr)buffer + len - disasm.EIP;// 设置停止位置
        if (disasm.SecurityBlock <= 0) {
            break;
        }
        _len = Disasm(&disasm); // 反汇编方法,返回值是当前指令的长度
        switch (disasm.Error)
        {
            case OUT_OF_BLOCK:break;// 指令不完整,比如还有两个字节可以解读,但是这两个字节不是一个完整的指令
            case UNKNOWN_OPCODE: { // 有些指令解读不出来
                _tmp.Format("0x%.08X => ????????\r\n", (unsigned)disasm.VirtualAddr);
                _output += _tmp;

                disasm.EIP += 1;
                disasm.VirtualAddr += 1;

                break;
            }
            default:
                _tmp.Format("0x%.08X => [%s]\r\n", (unsigned)disasm.VirtualAddr, &disasm.CompleteInstr);
                _output += _tmp;
                disasm.EIP += _len;
                disasm.VirtualAddr += _len;
        }
    }
    CString result;
    result = _output;
    return result;
}

void PEProtecter::Init(unsigned count)
{
    CodeCount = count;
    unsigned _size = 4 + count * sizeof(CODEContext);
    if (_size > _dataHeadl) {
        if (_dataHead)delete[]_dataHead;
        _dataHead = new char[_size];
        _dataHeadBegin = _dataHead;
        _dataHeadl = _size;
    }
    unsigned* _count = (unsigned*)_dataHead;
    _count[0] = count;
    _dataHead += sizeof(_count);

}

void PEProtecter::PushCode(unsigned va, unsigned len, unsigned _base, bool hide)
{
    char* buffer = ReadDataByVa(va, _base); // 硬盘中的代码位置(FOA)
    DISASM disasm;
    memset(&disasm, 0, sizeof(DISASM));
    disasm.EIP = (UIntPtr)buffer;
    disasm.VirtualAddr = (UIntPtr)va; // 根据这个值把 jmp、call这种跳转指令的地址重新计算,如果它的值是0表示不重新计算
    disasm.Archi = IA32;// 指令集类型,1表示32位、0表示64位,AMD64
    disasm.Options = MasmSyntax;// 汇编语法、指令形式,如masm、nasm


    int _len;
    Int32 opcode;

    PCODEContext _pcontext = (PCODEContext)_dataHead;
    _pcontext->start = va;
    _pcontext->r_couent = 0;
    _pcontext->len = len;
    _pcontext->hide = hide;
    while (!disasm.Error)
    {
        disasm.SecurityBlock = (UIntPtr)buffer + len - disasm.EIP;// 设置停止位置
        if (disasm.SecurityBlock <= 0) {
            break;
        }
        _len = Disasm(&disasm); // 反汇编方法,返回值是当前指令的长度
        switch (disasm.Error)
        {
        case OUT_OF_BLOCK:break;// 指令不完整,比如还有两个字节可以解读,但是这两个字节不是一个完整的指令
        case UNKNOWN_OPCODE: { // 有些指令解读不出来
            /**
                只要执行到这里就说明有不可解读的指令
                可以进行 停止 或 报错
            */
            disasm.EIP += 1;
            disasm.VirtualAddr += 1;
            break;
        }
        default:
            opcode = disasm.Instruction.Opcode;
            if (opcode == 0xE8 || (opcode == 0xE9)) {
                _pcontext->r_couent++;
                unsigned short offset = (unsigned)disasm.EIP - (unsigned)buffer;
                unsigned* e8 = (unsigned*)(disasm.EIP + 1);
                unsigned callAddr = va + (unsigned)disasm.EIP - (unsigned)buffer + e8[0]+5;
                e8[0] = callAddr;
                unsigned short* _offset = (unsigned short*)_dataEntry;
                _offset[0] = offset;
                _dataEntry = _dataEntry + sizeof(offset);
            }
          
            disasm.EIP += _len;
            disasm.VirtualAddr += _len;
        }
    }

    memcpy( _dataEntry, buffer, len); // 复制客户端原本代码到我们的加密空间,这个空间可以上服务器
    _dataEntry += len; // 加密空间递增指向下一块空间
    memset(buffer, 0xCC, len); // 删除客户端代码
    if (!hide) {
        memcpy(buffer, _AsmCode, 11); // 给客户端写入跳转原本客户段代码,原本客户端的代码被我们获取了目的是让我们的插件与客户端形成耦合,从而防止我们的插件被移除
    }
    char* _pushIndex = _AsmCode + 3; // 修改序号
    _pushIndex[0]++; // 修改序号
    _dataHead += sizeof(CODEContext);
}

bool PEProtecter::Save(wchar_t* _file)
{
    unsigned* fcount = (unsigned*)_dataEntry;
    fcount[0] = filelen;
    _dataEntry += sizeof(fcount);
    auto hFile = CreateFile(_file, GENERIC_WRITE, FILE_SHARE_READ, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
    if (hFile == INVALID_HANDLE_VALUE) {
        return false;
    }
    DWORD dRead;
    WriteFile(hFile, _data, filelen, &dRead, NULL); // 写入客户端数据
    unsigned _dataHeadlenth = (unsigned)_dataHead - (unsigned)_dataHeadBegin;
    unsigned _dataEntrylenth = (unsigned)_dataEntry - (unsigned)_dataEntryBegin;
    
    // 加密数据
    for (int i = 0; i < _dataHeadlenth; i++)
    {
        _dataHeadBegin[i] = _dataHeadBegin[i] ^ 0x23;
    }

    for (int i = 0; i < _dataEntrylenth - 4; i++)
    {
        _dataEntryBegin[i] = _dataEntryBegin[i] ^ 0x23;

    }
    // SetFilePointer(hFile, 0, 0,FILE_END);
    WriteFile(hFile, _dataHeadBegin, _dataHeadlenth, &dRead, NULL);
    // SetFilePointer(hFile, 0, 0, FILE_END);
    WriteFile(hFile, _dataEntryBegin, _dataEntrylenth, &dRead, NULL);
    CloseHandle(hFile);

    _dataHead = _dataHeadBegin;
    _dataEntry = _dataEntryBegin;
    return true;
}
计算机王
关注
专栏目录
[系统安全] 十二.熊猫烧香病毒IDA和OD逆向分析(上)病毒初始化
杨秀璋的专栏
01-06 5956
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢! IDA和OD作为逆向分析的“倚天剑和“屠龙刀”,学好它们的基本用法至关重要。本文重点分析熊猫烧香病毒的功
PE格式详细讲解10 - 系统篇10|解密系列
weixin_34009794的博客
07-05 154
PE格式详细讲解10 -系统篇10 让编程改变世界 Change the world by program 今天有一个朋友发短消息问我说“老师,为什么PE的格式要讲的这么这么细,这可不是一般的细哦”。 其实之所以将PE结构放在解密系列继基础篇之后讲并且尽可能细致的讲,不是因为小甲鱼没事找事做。 主要原因是因为PE结构非常重要,再说做这个课件的确是很费神的事哈。 在这里再次...
48.网游逆向分析插件开发-游戏反调试功能的实现-项目需求与需求拆解
计算机王的博客
12-22 773
网络游戏逆向、网络游戏安全、网络游戏攻防、c++
51.网游逆向分析插件开发-游戏反调试功能的实现-设置主线程为隐藏调试破坏调试通道
计算机王的博客
12-25 1400
网络游戏逆向、网络游戏安全、网络游戏攻防、c++
CVE-2010-2883 从漏洞分析到样本分析
qq_28205153的博客
08-19 5266
本文章将从漏洞利用分析开始,到样本分析结束,其中涉及到的知识点有PDF格式、TTF字体格式、缓冲区溢出漏洞利用、PE文件格式、软件脱和恶意代码分析。其中会演示一些基本操作,方便初学者进行复现。 前置知识 要学习本文章,需要下面的前置知识 C语言。可以看《C程序设计语言》。 汇编语言。可以看《深入理解计算机系统》第三章。 缓冲区溢出漏洞利用。可以看《0day安全:软件漏洞分析技术》。 软件脱、PE文件格式。可以看《加密与解密》。 恶意代码分析(可选)。可以看《恶意代码分析实战》。 漏洞信息 漏洞名称:
[安全攻防进阶篇] 九.熊猫烧香病毒机理IDA和OD逆向分析(上)
热门推荐
杨秀璋的专栏
12-08 1万+
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢!IDA和OD作为逆向分析的“倚天剑和“屠龙刀”,学好它们的基本用法至关重要。
代码保护软件VMP逆向分析虚拟机指令:VMP代码的提取
RoffeyYang的博客
06-24 1372
VMProtect是一种很可靠的工具,可以保护应用程序代码免受分析和破解,但只有在应用程序内保护机制正确构建且没有可能破坏整个保护的严重错误的情况下,才能实现最好的效果。 VMProtect通过在具有非标准体系结构的虚拟机上执行代码保护代码,这将使分析和破解软件变得十分困难。除此之外,VMProtect还可以生成和验证序列号,限制免费升级等等。 下载VMProtect最新试用版 相关链接: 代码保护软件VMP逆向分析虚拟机指令:初步认识与环境搭建 二、VM代码的提取 承接上文,我们写了个例子,然后用vmp
《Android软件安全与逆向分析》— Android 书籍
qq_27494201的博客
11-25 1575
文章目录第1章 Android程序分析环境搭建 1第2章 如何分析Android程序 16第3章 进入Android Dalvik虚拟机 29第4章 Android可执行文件 56第5章 静态分析Android程序 94第6章 基于Android的ARM汇编语言基础——逆向原生! 157第7章 Android NDK程序逆向分析 187第8章 动态调试Android程序 236第9章 Android软件的破解技术 265第10章 Android程序的反破解技术 310第11章 Android系统攻击与防范
红队专题-REVERSE汇编/二进制PWN/逆向/反编译
aming小老弟
10-10 1274
ROP(Return-Oriented Programming)链是一种计算机安全领域中的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存中的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域中的恶意代码
[系统安全] 五十三.DataCon竞赛 (2)2022年DataCon涉网分析之恶意样本IOC自动化提取详解
杨秀璋的专栏
09-01 3440
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍2020 Coremail钓鱼邮件识别及分析内容。这篇文章是作者2022年参加清华大学、奇安信举办的DataCon比赛,主要是关于涉网FZ分析,包括恶意样本IOC自动化提取和攻击者画像分析两类题目。这篇文章来自L师妹的Writeup,经同意后分享给大家,推荐大家多关注她的文章,也希望对您有所帮助。
逆向整理-PE
weixin_43742794的博客
02-29 482
PE相关 PE文件格式 PE文件是windows下的32位可执行文件格式,64位称为PE+或PE32+ 文件中使用偏移(offset)内存中使用VA(Virtual Address)来表示位置,VA指的是进程虚拟内存中的绝对地址,RVA(Relative Virtual Address)指从某个基准位置(ImageBase)开始的相对地址,RVA+ImageBase=VA PE头 在PE头的最前面...
C语言进阶之泛型列表(Generic List)
2402_83795905的博客
09-26 175
c语言进阶之泛型列表,领略指针的魅力!!!
9_25_对话框
m0_53697204的博客
09-26 144
输入条目的时候,需要一个 QStringList 格式的参数。用 push_back的方法往参数里添加数据。可以让用户输入一个具体的数据,可以是整数,浮点数,字符串的形式。PS:尽量用用静态函数的方式创建对话框。
Java Stream流编程入门
2301_77207909的博客
09-21 464
Java StreamAPI的使用与常用方法
map的使用
Small_entreprene的博客
09-26 582
map底层的红⿊树节点中的数据,使⽤存储键值对数据T1 first;T2 second;{}{}{}可以理解为,现在的key和value不再单独出现,而是整合在一个pair的结构体里面,pair里有两个成员变量,一个代表key,另一个代表value。int main()//1.插入有名的pair对象pair kv1("first", "第一个");//2.插入匿名的pair对象。
guava里常用功能
09-26 180
guava 是 Google 提供的一个 Java 库,提供了很多实用的工具类和方法,可以帮助开发者更高效地编写代码
每日OJ题_牛客_NC40链表相加(二)_链表+高精度加法_C++_Java
最新发布
参考书籍:《C语言程序设计》《数据结构》《C++ Primer》《Effective C++》《STL源码剖析》《现代操作系统》《UNIX环境高级编程》《图解TCP/IP》《图解HTTP》《Linux高性能服务器编程》《剑指Offer》《算法导论》
09-26 251
每日OJ题_牛客_NC40链表相加(二)_链表+高精度加法_C++_Java(模拟⾼精度加法的过程,只不过是在链表中模拟。)
excel导出图片---HSSFWorkbook--SXSSFWorkbook
ChickenBro_的博客
09-25 621
平时在工作中,excel导出图片经常会用到,但奈何HSSFWorkbook导出数据数量有限制问题,所以企业里大多都用SXSSFWorkbook格式,很少用HSSFWorkbook。所以今天以这两种格式分别记录下,图片的导出过程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值