让人头疼的吃鸡外挂,一起来逆向分析一波

前言:

最近在浏览某网络论坛,看到一款刺激战场的吃鸡外挂软件下载量很高,出于对游戏外挂样本的敏感及逆向的专注,就从论坛上下载一个样本,并进行对该游戏外挂样本,深度功能分析及还原破解的逆向实践,主要从外挂样本的功能表现,样本的基础属性、样本的实现功能、样本的验证功能破解进行实践。

基本属性

(分析这些未知的软件切记得在虚拟机环境下进行)

启动游戏辅助样本后,从表面上来看功能确实很强大,透视、距离、显血、自瞄这些都是玩家想用游戏辅助的一个痛点。但这游戏辅助功能都有实现吗?有这么强大了吗?

在这里插入图片描述

结合Exeinfo PE和pchunter工具可以得出样本基本属性的结果。

该样本是通过易语言(WTWindow类名是易语言特有)进行开发的,从查壳和区段信息来看,该样本是没有做任何保护的普通样本。

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

注册码破解

样本点击开启辅助功能的时候,提示需要先进行获取注册码,进行对样本功能激活,才能正常使用样本的功能。

在这里插入图片描述

点击获取注册码按钮,会弹出扫描支付的对话框,但是对话框 是空白的。通过逆向分析得出的结论是,奈何该样本开发作者的服务器,已经过期而且是没有进行备案登记的,所以样本通过http通讯方式,进行向服务器请求支付的二维码图片就请求失败,所以弹出的支付对话框就是空白的界面。

在这里插入图片描述
在这里插入图片描述

对于要逆向破解程序某功能点时,主要需要通过强大的ollydbg工具进行做动态调试,其他工具如IDA、procmon、pchunter等主要是作为逆向分析破解的辅助点和参考点。

分析易语言样本可采用的通用突破点

通过下对话框函数断点MessageBoxA

从字符串进行入手下断点

通过搜索易语言按钮事件特征码(FF 55 FC 5F 5E 89 5D F4 )进行下断点。

注册码的破解流程步骤

在这里插入图片描述
在这里插入图片描述

基于以上的方法进行分析,就可以不用通过扫描二维码支付,就可以获取到正确的转账单号,从而获取到正确的激活码。正确的转账单号直接写在代码中进行做判断,并且代码中校验是否正确的方式,通过账单号两位数为单位进行校验的。校验正确后,这个时候就会弹出正确激活码字符串信息了。

在这里插入图片描述

通过输入前面获取到激活码字符串信息,就可以进行激活辅助软件了。这个时候在进行点击开启辅助功能,就发现可以有正确的对话框提示了。(通过测试和验证分析并没有所谓的修改游戏客户端数据进行作弊的功能)

在这里插入图片描述

钩子技术分析

(外挂样本中应用到钩子技术)

1.实现钩子技术需要的三个系统函数

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

2.全局钩子注入方式的实现步骤

1.调用SetWindowsHookEXA设置安装钩子(可以按需进行设置不同类型钩子)

2.实现钩子的回调函数,再回调函数里面调用CallNextHookEx。

3.调用UnhookWindowsHookExA卸载钩子

该辅助样本实现的功能

该吃鸡样本实现安装了两个钩子,主要用于监控对话框的输入事件,监控CBT程序的。并没有通过钩子技术,实现对游戏客户端进程注入模块。

监控对话框输入事件实现 对当前线程进行安装WH_MSGFILTER 钩子

在这里插入图片描述
在这里插入图片描述

钩子的回调函数:主要是进行对话框输入事件进行监控。

对CBT应用程序监控 对当前线程进行安装 WH_CBT钩子

在这里插入图片描述

CBT钩子的回调函数实现

在这里插入图片描述

【游戏逆向破解技术文档】

总结

基于以上的分析,可以很清晰的得出结果,该辅助作者开发弹出对话框功能很多,实际实现有效功能是微乎其微的,它只是一个框架流程进行对话框展示。其实该样本就是个没有实际功能的辅助,只是为了忽悠小白的。

作为一个常规的游戏辅助软件,一般都需具备网络验证、注入功能、内存读写功能。

游戏中购买使用游戏辅助软件,这个是相对不明智的选择,毕竟这个双向的危险系数非常高的。其一使用游戏辅助那么就必定会面临被封号的风险。其二购买游戏辅助又容易被忽悠、被骗的情况出现。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 223,426评论 6 521
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 95,567评论 3 401
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 170,342评论 0 366
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 60,420评论 1 300
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 69,424评论 6 398
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 52,964评论 1 314
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 41,365评论 3 426
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 40,330评论 0 278
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 46,862评论 1 322
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 38,921评论 3 343
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 41,063评论 1 354
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 36,717评论 5 350
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 42,393评论 3 336
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 32,880评论 0 25
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 34,002评论 1 275
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 49,540评论 3 380
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 46,084评论 2 361

推荐阅读更多精彩内容