背景
洛克王国是一款网页游戏,它是为孩子们设计的儿童魔幻社区。
百度搜索了下,洛克王国辅助关键字,第一个就是洛克王国旋风辅助 官方网站,并且网页上提示这辅助永久免费使用。又是开发辅助又搭建辅助官方网站的,这不都是需要时间成本和金钱吗,下面就分析下,这个辅助的实现原理、还有验证下是否真正都是免费的吗?
外挂基本信息
借助Exeinfo PE工具分析该游戏辅助的一些基本情况,从下图可以直观的看到,该游戏外挂的区段是标准的区段信息,并且展示外挂样本是基于C++进行开发的,实际上该游戏辅助是用易语言开发的辅助软件,所以该辅助样本是一个标准的没做过任何保护的样本。
游戏外挂的样本上,直接附带其游戏辅助网站信息,通过结合网站在线查询如站长之家,进行查询查询网站的基本信息和备案情况。通过查询可确认,该网站是未备案的非法网站。
外挂基本功能
通过结合样本运行观察,并利用ollydbg和IDA工具进行对样本进行分析,该样本主要是通过将网页展示信息用易语言的超文本方式内嵌到外挂程序的界面上,主要的外挂功能实现上是通过封包的方式进行实现的。
下图是外挂的界面展示图
下面是外挂的功能实现数据(只是其中一小部分)
那么如何获取游戏中的每个功能封包和修改封包功能?
通过WPE工具、Wireshark工具去抓取功能的封包数据,然后再结合工具进行修改封包内容达到外挂的功能效果。外挂的再易语言中是通过GET方式向游戏服务端发送封包内容的。
需要逆向分析工具的可以点击下方超链接自取
例如 下面是通过向游戏发送修改封号后,训练宠物的封包数据
GET http://17roco.qq.com/cgi-bin/pet_training?cmd=2&type=0000002D0000000208009527000000170004
外挂的下载和锁主页实现
启动外挂样本的后,外挂会默认偷偷从2345网站的下载两个安装程序。
这个就是偷偷下载的输入法和浏览器的两个安装包。
下面是通过调用RegOpenKeyExW,RegSetValueExW,RegDeleteValueW等系统函数进行操作注册表信息。
通过修改注册表的Software\Microsoft\Internet Explorer\Main\Start Page的地址,实现到浏览器启动页的锁定功能。
外挂盈利模式
下面这个地址是2345推广的需求和收益的计算
2345的计费收益是通过积分方式进行推广获取的,然后通过积分兑换一定比例的收益。
通过以两个截图信息可以看到安装软件或者锁定主页的积分并不高,并且兑换比例5万积分才兑换50元的收益。其实以上的积分获取和积分兑换是针对小渠道的。他们还有大客户渠道的。大客户渠道有一定的安装量门槛,但同时获取的收益如积分或者兑换成现金的比例会更高。