• 869阅读
  • 0回复

被VMP加密新网游下断总返回相同数据的解决思路。 [复制链接]

上一主题 下一主题
在线啊冲
 

只看楼主 倒序阅读 使用道具 楼主  发表于: 2016-08-27
----------------
魔鬼作坊
游戏“禁技巧”分析技术揭秘中……
http://www.moguizuofang.com/bbs/
----------------
屏幕 1024*768  系统:XP3
被VMP加密新网游下断总返回相同数据的解决思路。
魔恩QQ:8643245
各位亲爱的朋友:
我们又在VIP课程相会了,那么,这节课,我将与你分享被VMP加密新网游下断总返回相同数据的解决思路。

解决问题万能思路:遇到什么问题需要解决,百度谷歌一下,你就知道了。
                  因为你想解决的问题,别人可能早已解决。

本课思路:直接分析返回的相同数据。

具体操作技巧:

需要先开OD,再开游戏,否则会被检测到。

Ctrl+G


打开NPC CALL   鼠标右键

调用堆栈:     主线程
地址       堆栈       函数过程                              调用来自                      结


0013F994   00B2F667   client.00D69836                       client.00B2F662
0013F9AC   00B355B1   client.00B2F640                       client.00B355AC
0013F9BC   00B36239   client.00B35580                       client.00B36234
0013F9C8   00B37210   client.00B36150                       client.00B3720B
0013FA28   00758911   包含client.00B37210                     client.0075890F
0013FA48   007593FE   ? client.00758700                     client.007593F9

调用堆栈:     主线程
地址       堆栈       函数过程                              调用来自                      结


0013FA60   00A7AD3D   包含client.007593F9                     client.00A7AD3B
0013FA80   00A7B087   client.00A7AC90                       client.00A7B082
0013FA98   00881B8F   client.00A7B070                       client.00881B8A
//可能是打开NPC CALL
0013FABC   00A0C1FE   包含client.00881B8F                     client.00A0C1FC
0013FAFC   00A0C10E   包含client.00A0C1FE                     client.00A0C10C
0013FB30   00A0B1EE   包含client.00A0C10E                     client.00A0B1EC
0013FB4C   008193EC   client.00A0B1D0                       client.008193E7
0013FB88   0075835D   client.00819280                       client.00758358
0013FB9C   00B3CC81   包含client.0075835D                     client.00B3CC7F
0013FBA8   00A0C1FE   包含client.00B3CC81                     client.00A0C1FC
0013FBE8   00A0C10E   包含client.00A0C1FE                     client.00A0C10C
0013FC1C   00A0B1EE   包含client.00A0C10E                     client.00A0B1EC
0013FC38   00B41F29   client.00A0B1D0                       client.00B41F24
0013FC70   00B4C0A3   包含client.00B41F29                     client.00B4C0A1
0013FD08   77D18734   包含client.00B4C0A3                     USER32.77D18731
0013FD34   77D18816   ? USER32.77D1870C                     USER32.77D18811
0013FD9C   77D189CD   ? USER32.77D1875F                     USER32.77D189C8              

0013FD98
0013FDFC   77D18A10   ? USER32.77D188F1                     USER32.77D18A0B              

0013FDF8
0013FE0C   00B4CC2A   ? USER32.DispatchMessageW             client.00B4CC25              

0013FE08

00881B63    8B76 08         MOV ESI,DWORD PTR DS:[ESI+8]             ; DS:[197853E0]

=0010119D 有点像
00881B66    83EC 08         SUB ESP,8                                ; 分配局部变量 8字节
00881B69    8BC4            MOV EAX,ESP                              ; ESP=0013FAA4
00881B6B    896424 24       MOV DWORD PTR SS:[ESP+24],ESP            ; ESP=0013FAA4
00881B6F    68 20570701     PUSH client.01075720                     ; 常量
00881B74    6A 00           PUSH 0                                   ; 常量
00881B76    C600 64         MOV BYTE PTR DS:[EAX],64
00881B79    8970 04         MOV DWORD PTR DS:[EAX+4],ESI             ; ESI=0010119D
00881B7C    E8 7F22EEFF     CALL client.00763E00                     ; MOV EAX,DWORD PTR

DS:[114BED0]
00881B81    8BC8            MOV ECX,EAX
00881B83    E8 185AEDFF     CALL client.007575A0                     ; MOV EAX,DWORD PTR

DS:[ECX+4]
00881B88    8BC8            MOV ECX,EAX
00881B8A    E8 E1941F00     CALL client.00A7B070

0013FA9C   00000000  ....
0013FAA0   01075720   W   client.01075720
0013FAA4   00881B64  d ?   client.00881B64
0013FAA8   0010119D  ? .

代码注入器测试成功:

push 0010119D
push 00881B64
push 01075720
push 0
mov eax,[114bed0]
mov ecx,eax
mov eax,[ecx+4]
mov ecx,eax
call 00A7B070

OD死码:
ADD AL,56
PUSH EDI
XOR EDI,EDI
TEST EAX,EAX
MOV ESI,ECX

搜第二次,往上找,第三个CALL就是要找的CALL。





走路CALL

调用堆栈:     主线程
地址       堆栈       函数过程                              调用来自                      结


0013F9A0   00B2F667   client.00D69836                       client.00B2F662
0013F9B8   00B355B1   client.00B2F640                       client.00B355AC
0013F9C8   00B36239   client.00B35580                       client.00B36234
0013F9D4   00B37210   client.00B36150                       client.00B3720B
0013FA34   00758911   包含client.00B37210                     client.0075890F
0013FA54   007593FE   ? client.00758700                     client.007593F9


总结:在bp send返回数据的第6层下断才能找到真正的CALL返回数据。




万事万物相生相克,遇到问题总有方法解决,不是你能力的问题,只是你的方法不对而已。

善者 慈悲心常在 无怨无恨 以苦为乐
默认压缩密码www.hifyl.com
文件分享密码问题:http://www.hifyl.com/read-htm-tid-4444.html
快速回复
限100 字节
批量上传需要先选择文件,再选择上传
 
上一个 下一个