让人头疼的吃鸡外挂,一起来逆向分析一波

李志宽
• 阅读 1340

前言:

最近在浏览某网络论坛,看到一款刺激战场的吃鸡外挂软件下载量很高,出于对游戏外挂样本的敏感及逆向的专注,就从论坛上下载一个样本,并进行对该游戏外挂样本,深度功能分析及还原破解的逆向实践,主要从外挂样本的功能表现,样本的基础属性、样本的实现功能、样本的验证功能破解进行实践。

基本属性

(分析这些未知的软件切记得在虚拟机环境下进行)

启动游戏辅助样本后,从表面上来看功能确实很强大,透视、距离、显血、自瞄这些都是玩家想用游戏辅助的一个痛点。但这游戏辅助功能都有实现吗?有这么强大了吗?

让人头疼的吃鸡外挂,一起来逆向分析一波

结合Exeinfo PE和pchunter工具可以得出样本基本属性的结果。

该样本是通过易语言(WTWindow类名是易语言特有)进行开发的,从查壳和区段信息来看,该样本是没有做任何保护的普通样本。

让人头疼的吃鸡外挂,一起来逆向分析一波

让人头疼的吃鸡外挂,一起来逆向分析一波

让人头疼的吃鸡外挂,一起来逆向分析一波

注册码破解

样本点击开启辅助功能的时候,提示需要先进行获取注册码,进行对样本功能激活,才能正常使用样本的功能。

让人头疼的吃鸡外挂,一起来逆向分析一波 点击获取注册码按钮,会弹出扫描支付的对话框,但是对话框 是空白的。通过逆向分析得出的结论是,奈何该样本开发作者的服务器,已经过期而且是没有进行备案登记的,所以样本通过http通讯方式,进行向服务器请求支付的二维码图片就请求失败,所以弹出的支付对话框就是空白的界面。

让人头疼的吃鸡外挂,一起来逆向分析一波

让人头疼的吃鸡外挂,一起来逆向分析一波

对于要逆向破解程序某功能点时,主要需要通过强大的ollydbg工具进行做动态调试,其他工具如IDA、procmon、pchunter等主要是作为逆向分析破解的辅助点和参考点。

分析易语言样本可采用的通用突破点

通过下对话框函数断点MessageBoxA

从字符串进行入手下断点

通过搜索易语言按钮事件特征码(FF 55 FC 5F 5E 89 5D F4 )进行下断点。

注册码的破解流程步骤

让人头疼的吃鸡外挂,一起来逆向分析一波

让人头疼的吃鸡外挂,一起来逆向分析一波

基于以上的方法进行分析,就可以不用通过扫描二维码支付,就可以获取到正确的转账单号,从而获取到正确的激活码。正确的转账单号直接写在代码中进行做判断,并且代码中校验是否正确的方式,通过账单号两位数为单位进行校验的。校验正确后,这个时候就会弹出正确激活码字符串信息了。

让人头疼的吃鸡外挂,一起来逆向分析一波

通过输入前面获取到激活码字符串信息,就可以进行激活辅助软件了。这个时候在进行点击开启辅助功能,就发现可以有正确的对话框提示了。(通过测试和验证分析并没有所谓的修改游戏客户端数据进行作弊的功能)

让人头疼的吃鸡外挂,一起来逆向分析一波

钩子技术分析

(外挂样本中应用到钩子技术)

1.实现钩子技术需要的三个系统函数 让人头疼的吃鸡外挂,一起来逆向分析一波

让人头疼的吃鸡外挂,一起来逆向分析一波

让人头疼的吃鸡外挂,一起来逆向分析一波

2.全局钩子注入方式的实现步骤

1.调用SetWindowsHookEXA设置安装钩子(可以按需进行设置不同类型钩子)

2.实现钩子的回调函数,再回调函数里面调用CallNextHookEx。

3.调用UnhookWindowsHookExA卸载钩子

该辅助样本实现的功能

该吃鸡样本实现安装了两个钩子,主要用于监控对话框的输入事件,监控CBT程序的。并没有通过钩子技术,实现对游戏客户端进程注入模块。

监控对话框输入事件实现 对当前线程进行安装WH_MSGFILTER 钩子

让人头疼的吃鸡外挂,一起来逆向分析一波

让人头疼的吃鸡外挂,一起来逆向分析一波

钩子的回调函数:主要是进行对话框输入事件进行监控。

对CBT应用程序监控 对当前线程进行安装 WH_CBT钩子 让人头疼的吃鸡外挂,一起来逆向分析一波

CBT钩子的回调函数实现

让人头疼的吃鸡外挂,一起来逆向分析一波

【游戏逆向破解技术文档】

总结

基于以上的分析,可以很清晰的得出结果,该辅助作者开发弹出对话框功能很多,实际实现有效功能是微乎其微的,它只是一个框架流程进行对话框展示。其实该样本就是个没有实际功能的辅助,只是为了忽悠小白的。

作为一个常规的游戏辅助软件,一般都需具备网络验证、注入功能、内存读写功能。

游戏中购买使用游戏辅助软件,这个是相对不明智的选择,毕竟这个双向的危险系数非常高的。其一使用游戏辅助那么就必定会面临被封号的风险。其二购买游戏辅助又容易被忽悠、被骗的情况出现。

点赞
收藏
评论区
推荐文章
李志宽 李志宽
2年前
黑灰产行业是怎么运行的?游戏黑灰产识别和溯源取证
游戏中的黑灰产一般来说,黑色产业指的是从事具有违法性的活动且以此来牟取利润的产业。而灰色产业则指的是不明显触犯法律和违背道德,游走于法律和道德边缘,以打擦边球的方式为“黑产”提供辅助的争议行为。游戏中的黑灰产主要围绕着:外挂辅助软件、盗号软件、工作室、私服、木马、钓鱼软件。外挂:外挂就是一种基于游戏进行作弊的软件,通过利用第三方软件或程序对游戏数据进行修改,
小尉迟 小尉迟
1年前
graphpad prism教程:如何使用 prism医学绘图分析软件?
1.当您启动Prism时,您将看到欢迎(文件..新建)对话框。您将看到代表八种数据表的八个选项卡。单击列选项卡。然后选择使用样本数据,并选择样本数据进行未配对t检验。笔记:要有效地使用Prism,您需要学习如何选择八种类型的数据表中的哪一种。请注意选择示例
李志宽 李志宽
2年前
重拳出击!我是这样对灰产外挂下手的
分析外挂样本一般的步骤1.对外挂样本进行简单的信息分析。2.分析还原外挂样本具体功能实现方式。3.分析外挂样本的反检测功能。1.对外挂样本进行简单的信息分析查看文件属性,灰产及外挂的标配语言“易语言”通过ExeinfoPe查壳工具进行对外挂样本查壳,看看发现是没加壳的应用程序。(心里突然咯噔了下,收费的外挂竟然都不做点保护,不对自己的程序负
Wesley13 Wesley13
3年前
U盘拷贝者MBR勒索木马分析
去年7月左右,一个著名安全媒体发布了一篇关于U盘拷贝者MBR勒索木马的分析报告,传播和影响较大。出于技术的探索欲以及内心的责任感,我们也分析了该木马样本。在原分析的基础上,我们纠正了一些关于勒索解密机制的错误。更有趣的是,我们发现该样本暴露了不少情报线索。进而通过层层深挖,可以对犯罪嫌疑人进行有效溯源。目前犯罪嫌疑人已经被江西九江警方缉拿归案
Stella981 Stella981
3年前
Kibana加载样本数据
kibana6.2加载样本数据kibanaloadingsampledata下载样本数据莎士比亚经典作品wgethttps://download.elastic.co/demos/kibana/gettings
Wesley13 Wesley13
3年前
KNN算法详解
  简单的说,K近邻算法是采用不同特征值之间的距离方法进行分类。  该方法优点:精确值高、对异常值不敏感、无数据输入假定  缺点:计算复杂度高、空间复杂度高  适用范围:数据型和标称型  现在我们来讲KNN算法的工作原理:存在一个样本数据集,也称作训练样本集,并且样本中每条数据都存在标签。将新输入的没有标签的数据与训练样本数据集中
ChatGPT风口下的技术“狂飙”,天翼云荣登ZeroCLUE榜首
最近ChatGPT火了!写代码、写情书、写文章、做题……它啥都会。在ChatGPT强大的功能背后,离不开业内不断精进的人工智能技术的支撑。零样本学习就是ChatGPT的核心技术之一。近日,智能边缘事业部AI团队在中文语言理解零样本学习权威榜单ZeroCLU
铁扇公主 铁扇公主
1年前
spss专业统计分析推荐 IBM SPSS Statistics中文激活最新
spssstatistics27增强功能比例和差异的Z检验和置信区间:对于单样本、配对样本、独立样本分析。在分析比较均值菜单下找到,新的比例程序允许用户测试总体比例的差异,并针对每种类型的分析使用各种方法构建观察到的差异的置信区间。可靠性分析增强:麦当劳O
李志宽
李志宽
Lv1
男 · 长沙幻音科技有限公司 · 网络安全工程师
李志宽、前百创作者、渗透测试专家、闷骚男一位、有自己的摇滚乐队
文章
89
粉丝
25
获赞
43