10.网络游戏逆向分析与漏洞攻防-游戏网络架构逆向分析-接管游戏发送数据的操作

已于 2024-03-12 10:26:31 修改
阅读量1.1k 收藏 8
点赞数 15
分类专栏: 网络游戏逆向分析与漏洞攻防 文章标签: 游戏 安全 c++
于 2024-02-27 20:40:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36301061/article/details/136330404
版权
文章详细描述了如何通过逆向工程分析一个游戏的明文发送数据过程,利用GameWinSock库对游戏的连接服务器操作进行接管,并模拟发送数据,包括创建模拟数据包、添加CUI窗口按钮事件以及修改相关文件的代码实现。
摘要由CSDN通过智能技术生成

免责声明:内容仅供学习参考,请合法利用知识,禁止进行违法犯罪活动!

内容参考于:易道云信息技术研究院VIP课

上一个内容:接管游戏连接服务器的操作

 码云地址(master 分支):染指/titan

码云版本号:00820853d5492fa7b6e32407d46b5f9c01930ec6

代码下载地址,在 titan 目录下,文件名为:titan-接管游戏发送数据的操作.zip

链接:https://pan.baidu.com/s/1W-JpUcGOWbSJmMdmtMzYZg

提取码:q9n5

--来自百度网盘超级会员V4的分享

HOOK引擎,文件名为:黑兔sdk升级版.zip

链接:https://pan.baidu.com/s/1IB-Zs6hi3yU8LC2f-8hIEw

提取码:78h8

--来自百度网盘超级会员V4的分享

以 接管游戏连接服务器的操作 它的代码为基础进行修改

首先通过 通过逆向分析确定游戏明文发送数据过程 分析得出数据发送的位置,然后它与connect用的是同一个对象,所以还是可以用虚函数表:如下图虚函数表3C位置里的函数里调用了send函数

865063f0c09c4f49910a809212b968d8.png

然后它的参数,第一个参数是发送的数据包,第二个数据是发送的数据包的长度,它的返回值是一个bool类型,如下图它的返回值是al,al寄存器是1字节

b1b6cf5370e1477faf8832576cc9c18e.png

然后通过下图两个红框位置的赋值操作,也能看出这是一个bool类型(true是1,false是0)

a8de6a2ee6a24fa9b7c58615457d8d1f.png

它的函数原型:

bool GameWinSock::Send(char* buff, int len);

模拟游戏发送数据:首先现在无法制作游戏的数据包,所以用游戏生成一个数据包,复制出来

26ab349196c4430987ecf593cd4e542a.png

通过按钮发送聊天数据:

8b3f102cd3f24f7c95ca682ee7819a6c.png

资源视图新加按钮:

3892f88596e846c2b5782746f9a7c135.png

CUIWnd_0.cpp文件的修改:新加新加按钮点击事件

// CUIWnd_0.cpp: 实现文件
//

#include "pch.h"
#include "htdMfcDll.h"
#include "CUIWnd_0.h"
#include "afxdialogex.h"
#include "extern_all.h"

// CUIWnd_0 对话框

IMPLEMENT_DYNAMIC(CUIWnd_0, CDialogEx)

CUIWnd_0::CUIWnd_0(CWnd* pParent /*=nullptr*/)
	: CDialogEx(IDD_PAGE_0, pParent)
{

}

CUIWnd_0::~CUIWnd_0()
{
}

void CUIWnd_0::DoDataExchange(CDataExchange* pDX)
{
	CDialogEx::DoDataExchange(pDX);
}


BEGIN_MESSAGE_MAP(CUIWnd_0, CDialogEx)
	ON_BN_CLICKED(IDC_BUTTON1, &CUIWnd_0::OnBnClickedButton1)
END_MESSAGE_MAP()


// CUIWnd_0 消息处理程序


void CUIWnd_0::OnBnClickedButton1()
{
	char buff[] = {
		0xA, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
		0x00, 0x00, 0x00, 0x00, 0x00, 0x4, 0x00, 0x02, 0x01, 0x00, 0x00, 0x00, 0x02, 0x01, 00 ,0x00,
		0x00, 0x07, 0x0E, 0x00, 0x00, 0x00, 0x31, 0x00, 0x32, 0x00, 0x33, 0x00, 0x31, 0x00, 0x32 ,0x00,
		0x33, 0x00, 0x00, 0x00, 0x05, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00
	};
	WinSock->OnSend(buff, sizeof(buff));
}

GameWinSock.cpp文件的修改:新加 OnSend函数、_OnSend函数指针变量

#include "pch.h"
#include "GameWinSock.h"
#include "extern_all.h"

GameWinSock::PROC GameWinSock::_OnConnect{};
GameWinSock::PROC GameWinSock::_OnSend{};
// 这个函数拦截了游戏的连接
bool GameWinSock::OnConnect(char* ip, unsigned port)
{
    // this是ecx,HOOK的点已经有ecx了
    WinSock = this;
	bool b = (this->*_OnConnect)(ip, port);
	// 下方注释的代码时为了防止多次注入,导致虚函数地址不恢复问题导致死循环,通过一次性HOOK也能解决
	/*unsigned* vtable = (unsigned*)this;
	vtable = (unsigned*)vtable[0];
	union {
		unsigned value;
		bool(GameWinSock::* _proc)(char*, unsigned);
	} vproc;

	vproc._proc = _OnConnect;

	DWORD oldPro, backProc;
	VirtualProtect(vtable, 0x10x00, PAGE_EXECUTE_READWRITE, &oldPro);
	vtable[0x34 / 4] = vproc.value;
	VirtualProtect(vtable, 0x10x00, oldPro, &backProc);*/

    return b;
}

bool GameWinSock::OnSend(char* buff, unsigned len)
{
	
	/*
		这里就可以监控游戏发送的数据了
	*/
	return (this->*_OnSend)(buff, len);;
}

GameWinSock.h文件的修改:新加 OnSend函数、_OnSend函数指针变量

#pragma once
class GameWinSock
{
	typedef bool(GameWinSock::* PROC)(char*, unsigned);
public:
	static PROC _OnConnect;
	static PROC _OnSend;
	bool OnConnect(char* ip, unsigned port);
	bool OnSend(char* buff, unsigned len);
};

GameProc.cpp文件的修改:修改了 _OnConnect函数

#include "pch.h"
#include "GameProc.h"
#include "extern_all.h"

// typedef bool(GameWinSock::* U)(char*, unsigned);



bool _OnConnect(HOOKREFS2) {
	/*
		根据虚函数表做HOOK的操作
		截取 ecx 获取 winsock 的值(指针)
	*/
	unsigned* vtable = (unsigned*)_EDX;
	//WinSock = (GameWinSock *)_ECX;
	/*
		联合体的特点是共用一个内存
		由于 GameWinSock::OnConnect 的 OnConnect函数是 GameWinSock类的成员函数
		直接 vtable[0x34 / 4] = (unsigned)&GameWinSock::OnConnect; 这样写语法不通过
		所以使用联合体,让语法通过
	*/
	union {
		unsigned value;
		bool(GameWinSock::* _proc)(char*, unsigned);
	} vproc;
	DWORD oldPro, backProc;
	VirtualProtect(vtable, 0x100, PAGE_EXECUTE_READWRITE, &oldPro);
	/*
		vproc._proc = &GameWinSock::OnConnect;  这一句是把我们自己写的调用connect函数的地址的出来
	*/ 
	vproc._proc = &GameWinSock::OnConnect; 
	/*
		InitClassProc函数里做的是给指针赋值的操作
		InitClassProc(&GameWinSock::_OnConnect, vtable[0x34/4]);这一句的意思是把
		GameWinSock类里的_OnConnect变量的值赋值成vtable[0x34/4],这个 vtable[0x34/4] 是虚表里的函数
		vtable[0x34/4]是游戏中调用connect函数的函数地址,经过之前的分析调用connect是先调用了虚表中的
		一个函数,然后从这个函数中调用了connect函数
	*/
	InitClassProc(&GameWinSock::_OnConnect, vtable[0x34/4]);
	vtable[0x34 / 4] = vproc.value;


	vproc._proc = &GameWinSock::OnSend;
	InitClassProc(&GameWinSock::_OnSend, vtable[0x3C / 4]);
	vtable[0x3C / 4] = vproc.value;


	VirtualProtect(vtable, 0x100, oldPro, &backProc);
	return true;
}

GameProc::GameProc()
{
	hooker = new htd::hook::htdHook2();
	Init();
	InitInterface();
}

void GameProc::LoadBase()
{
	LoadLibraryA("fxnet2.dll");
}

void GameProc::Init()
{
}



void GameProc::InitInterface()
{
	LoadBase();
	MessageBoxA(0, "1", "1", MB_OK);
	// 只会HOOK一次,一次性的HOOK
	hooker->SetHook((LPVOID)0x10617046, 0x1, _OnConnect, 0, true);
}

1e44a03634714d4b854117a48b882d17.png

 

 

 

 

 

计算机王
关注
专栏目录
[网络安全自学篇] 六十八.WannaCry勒索病毒复现及分析(二)MS17-010利用及病毒解析
杨秀璋的专栏
04-20 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了通过Python利用永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
[系统安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及蠕虫解析
杨秀璋的专栏
03-01 8684
作者前文采用Github资源实现永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
48.网游逆向分析与插件开发-游戏反调试功能的实现-项目需求与需求拆解
计算机王的博客
12-22 780
网络游戏逆向网络游戏安全网络游戏攻防c++
网游逆向分析与插件开发
zygx8的博客
02-26 348
3.网络游戏逆向分析漏洞攻防-游戏启动流程漏洞-游戏启动流程的分析
计算机王的博客
02-20 1821
然后在下图红框位置,根据启动启动时间得出了一个差值,然后又cmp eax, 0x1D4C0,这个1D4C0是120000,然后eax是 GetTickCount 函数的返回值,也就是一个毫秒数,所以120000也是毫秒数据,然后120000 / 1000 = 120秒,然后这就破案了,为什么时间长了同样的命令行参数不能启动了,这因为命令行里肯定有一个东西代表了,一个毫秒数,这个毫秒数大于2分钟了,所以不能启动了。上面的三种启动方式,都免不了从登录器到游戏主程序它们之间的通信,也就是跨进程的通信。
游戏网络架构逆向分析--1
m0_55875295的博客
04-23 3625
测试需求和拆解 网络游戏客户端与服务端协同形式: 一般分为两种情况: UI操作->吃药-> 生命值增加-> 发送服务器 (发送结果型) UI操作->吃药->发送请求吃药->服务器验证->服务器完成吃药->客户端同步显示 发送结果型: 首先在界面里按了吃药的操作,按下吃药的操作以后,生命值增加,客户端会看有没有药水,有没有cd 能不能吃,生命值就增加了,然后把这个血量发送给服务器,但发送给服务器前的这个是可以改的比如直接改成999999,这不就无敌了..
一文带你了解对游戏外挂的逆向分析的详细步骤。
深耕安全技术研究
02-03 2064
游戏外挂样本逆向详细步骤.
[系统安全] 二十七.WannaCry勒索病毒分析 (3)蠕虫传播机制解析及IDA和OD逆向
杨秀璋的专栏
03-06 6426
前文分享了MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒,复现了WannaCry勒索病毒。这篇文章作者将继续分析WannaCry勒索病毒,主要通过IDA和OD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。同时,由于作者技术真的菜,只能叙述自己摸索的过程,如果存在错误或不足之处,还望告知。希望这篇基础性文章对您有所帮助~
[网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
杨秀璋的专栏
05-05 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将继续详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。作者分析该病毒一个月,一方面觉得自己技术菜,另一方面深知系统安全需要坚持,继续加油。希望文章对您有所帮助~
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
热门推荐
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
学习“游戏逆向“,你首先需要知道的有哪些?
最新发布
qq_60480348的博客
03-05 1279
学习游戏逆向其直接目的是修改游戏内容以及其内存数据来达到数据的改变,但是执行这一操作的主题就是"人",它取决于你所想的目的,或者是为了盈利,或者是为了成就名利,或者去追求技术上的热爱,去探索网络世界上的无线可能,需要有可以接受的过程,而我将这个过程进行一系列关于我所能够认知到,并且能展现给你们的可行的具体方案,这仅仅关于我的个人理解。
第八季 游戏逆向从入门到精通
注入辅助学院
08-06 8874
八月中旬开始准备录个系统点的教程 大致内容: 工具ce od 需认识的汇编内容 工具协同找一般数据 数据的结构 找数据的一般思路 …… 有兴趣的同学可以关注下 在这之前,可以先练习下ce和od的基本操作 ce内置练习程序 https://tieba.baidu.com/p/3635693952?red_tag=0161446633 新手od教程25课 链接:https:...
游戏逆向之外挂与反外挂
03-06
本套课程为游戏逆向分析系列的入门课程,面向所有零基础的对游戏安全,对逆向分析感兴趣的学员。课程结合了C++,汇编,反外挂等元素,让你轻松走进游戏安全的大门。
6.网络游戏逆向分析漏洞攻防-游戏网络架构逆向分析-通过逆向分析确定游戏明文发送数据过程
计算机王的博客
02-23 1758
游戏安全
游戏逆向_Android读写游戏内容
douluo998的博客
04-12 1825
又比如Unity游戏,如图1所示,其C#脚本编译后的DLL会存放在assets/bin/Data/Managed/Assembly-CSharp.dll里,可直接利用ILSpy等工具反编译的游戏脚本代码(关于Unity的辅助或破解版就有通过直接修改此文件内容实现功能)。注入式的读写,目的性较强,既是事先已经通过静态或者动态调试确定了在特定位置可以获取到内容地址,然后需要在游戏动态运行过程中读写相应地址内容(涉及到内存的读写操作,比如memset、memcpy、mmap、strcpy等函数)。
游戏中学习逆向:制作OW的dump
Lynnette177的博客
09-01 1650
我们要用到X64DBG,用来制作dump。会用到它的两个插件Scylla和ScyllaHide。ScyllaHide是一个高级的开源x64/x86用户模式Anti-Anti-Debug库。它hook用户模式(ring3)中的各种函数以隐藏调试。为了防止检测 ,我们还需要用到processhack2在运行游戏之后,首先进入一场游戏之中(这样保证我们想找的东西一定会出现在dump文件里面)使用process hack把整个进程全部暂停。这样不管是x64dbg 还是ce 都不会被检测到。
Unity单机手游逆向破解思路(仅供学习参考,禁止用于非法行为)
qq_41595148的博客
10-29 1万+
本文简述了一种适用于Unity单机手游的破解思路,并以“生活模拟器”为例,演示了实际逆向破解的过程,首先利用ILSpy反编译游戏主逻辑的.dll文件为C#等价源码,分析修改的位置,然后使用ILDasm插件查看C#修改位置对应的IL指令的位置,生成.IL文件后,将确定的指令位置找到并修改需要的参数。再使用ILasm插件将编辑后的.IL文件重新编译为.dll文件。最后将生成的Assembly-CSharp.dll文件替换掉原apk中的Assembly-CSharp.dll文件,重新打包apk,完成破解。
游戏逆向-前言
qq_41709308的博客
03-02 1075
此专题将会介绍与游戏逆向的一些相关知识,由于涉及到编程语言,请不会编程基础的读者自行充C/C++,汇编语言等相关的知识,为了节省时间本专题将不会再介绍。注:本人习惯使用的IDE:Visual Studio 2019-2022 读者可以根据自己的能力选择其他IDE进行开发。3.2利用驱动读写配合hook进行奇葩注入(可以通过手段达到理论意义上的无痕)如有不当的地方请大家指出来,有不懂的问题也欢迎和大家一起讨论,希望和大家一起进步!专栏提供的工具仅用于学习使用,请勿用于非法用途和倒卖,转帖请标明出处。
游戏逆向】Lua游戏逆向及破解方法介绍
douluo998的博客
05-03 8295
随着手游的发展,越来越多的Cocos-lua端游开发者转移到手游平台。Lua脚本编写逻辑的手游也是越来越多,如梦幻西游、刀塔传奇、开心消消乐、游龙英雄、奇迹暖暖、疾风猎人、万万没想到等手游。随着Lua手游的增加,其安全性更值得关注,在此归纳一些常用的分析方法,同时介绍一些辅助工具。Android平台的apk包可以直接解压,找到./lib目录下的so逻辑模块,一个个分析其so,寻找是否内嵌lua引擎(一般情况下,最大的so最有可能内嵌lua引擎)。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值