进都进来了,不顺手点赞评论么?

【原创】记一次爆破天书奇谈辅助

逆向 Wangyeyu2015 5180℃ 16评论

某日,我舍友再玩天书奇谈,某比较老的游戏(舍友经常玩这个游戏,所以了解比较多,有不少外挂,但是需要收费登录之类的,很是麻烦),所以,我便想帮其修改一番,权当熟悉OD了。

在拿到软件之后,首先,我们先打开程序看一眼,张这个样子。

第二步,查壳,发现无壳,且为VC++编译,便怀疑是易语言所写。

第三步,既然可能是易语言所写,决定使用易逆工程师进行分析试试,首先打开易逆工程师(注:吾爱破解虚拟机自带该工具)。1、选择进程:

2、勾选时钟和编辑框(看到输入注册码的界面可以猜到,检测注册码若非时钟做检测,便是编辑框的“内容被修改”的事件所致。),点击开始分析。(注:不知为何,此处勾选按钮点击分析会崩溃,现在想来,必是工具设计之漏洞所致。)

接着,我们查看分析结果,一个一个看,发现第二个编辑框便存在“内容被修改”的事件,我们就先记下地址

打开OD,用OD载入程序,使用快捷键:Ctrl+G的方式,跳转到刚刚记录的地址

点击OK便跳转到这个CALL的段首。

使用快捷键 F2,设置一个断点。

回到刚刚的程序,点击一下编辑框,发现程序成功卡死,光标没反应。

回到OD,发现程序确实断了下来。

由此可确定,此CALL便为校验注册码的子程序(易语言的大部分子程序是以CALL的形势体现的),我们使用F8往下走。

此处显示出了编辑框默认的文本,在此证实了我们的猜想(此处是校验的子程序),我们继续F8

走到一个跳转,注意,这种跳转很容易一步跳到结束,类似于代码中,注册码不正确就直接退出该子程序的那种结构,注意现在是红色的线,证明跳转已经实现了,那我们去看一下未实现跳转会发生什么,选择“011F0367”地址的代码,按下回车。

按下回车便来到了这里,发现他下面就是retn,由此可知如果执行了这个跳转之后,子程序就会结束。


那我们双击EIP回到运行的地方。

然后,将刚刚的地址记录下来,

我们继续F8,向下走。
走着走着,发现了一个和刚刚跳转地址一样的命令,而且还是会执行的跳转(红色的线代表会执行)。

我们先将其记录下来,

然后,我们在将其修改为NOP,让他不执行

我们,继续F8,继续留意跳转,看看还有什么跳转让子程序跳到了返回,我们一路向下执行↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓

程序走到这个地方的时候,发现了一段可疑的字符串,

没错,这种格式就是注册表的格式,说明这个地方是操作了注册表,我们先不管,留个印象,我们继续F8向下走,

走到这个地方看到了这个,一个没执行的跳转,并且写了一个配置项,那这个地方应该就是保存配置文件的代码

我们将其记录下来,然后继续F8往下走

走到这个地方,发现又有一个跳到结束的跳转

老规矩,我们将其记录下来

然后我们将其修改nop掉(按下空格就可以直接修改,刚刚忘记说了)

然后继续F8向下走,边走边看,发现了这个地方,很明显这个是用来显示程序更新了,或者是失败后显示在界面上的信息,

那我们将它上面这个跳转修改为jmp,让他跳过去

继续往下走,发现这个地方,也是一样的道理,跳到了结束

,我们一样nop掉,不让他执行。

再往下走,发现了最关键的地方,这个地方比较特殊,我们通过注释可以得知(上面的关键call……和中间的此处……是我自己写的注释,原版是下面那三个注释),可以得知这也是操作注册表的代码,

那我们先将其记录

再将其nop掉,因为这段代码再往后就是结束了,之前一直没有窗口操作之类的代码, (运行到这里之前窗口一点变化没有)

往下走的时候发现运行了下图这个call之后,窗口不见了,(从任务栏看不到窗口了),我们不管,继续往下走

走到这个地方的时候,出现了一个新的窗口,一样,我们先加上注释。

再往下走走,发现了一个向上的跳转,

跟关键的是,这个跳转没有判断,直接jmp向上跳,我们回车看看他跳到了哪里,

完了,他跳转到了我们刚刚修改的那个地方的上面,我们可以猜一下,原版的执行流程是,登录成功的话,操作窗口,操作完了之后再跳到这个语句上面,在此执行,然后某个变量控制之类的操作,让他不成立,然后执行到结束。

但是我们现在修改之后他每次都会跳到这段代码的上面, 每次因为nop又会继续执行,执行了又跳到上面,无限循环,这怎么办呢,

不如我们这样,

首先,我们回到向上跳转的地方,

我们将向上跳转的代码nop掉试试,

嘿!成了, 这样最后这部分,我们修改后的逻辑和原版便差不多了,他只会执行一遍,到了这个向上跳转的地方,因为是nop,所以向下执行,一路到返回,中间我们也看了,游戏的登录窗口也出来了,目的也达到了,哈哈,我真是个小机灵鬼~~~~

然后我们点击工具栏的“B”将断点全部禁止,

然后我们,再继续看看软件~哟~已经出现了游戏帐号的登录窗口~(注意这个是登录游戏帐号的窗口,不是软件的登录窗口,登录部分我们已经破解完成了)

我们登录一下试试,可以看到左下角出现了信息,我们稍等一会看看,

成了,界面已经出来了,说明我们的操作完全没问题

到这一步,小伙伴便可以保存全部修改到可执行文件了,但是实际测试的时候发现,并不是这样的,里面有些功能还是无法使用的状态,比如:

比如这个功能便会显示为需要会员,这个算是给大家留个小作业,我明天会继续更新,这些小功能的爆破教程

码字不易,如果我写的这个教程帮助了你,请回复,点赞,评论,评分等,,,,明天还有一篇,请耐心等待。

对了,望各位有时间多看一些我的博客,http://blog.lrvin.com

 

附源文件:https://www.lanzous.com/i29pmha(QQ号,QQ群等,已做处理)

修改文件明天教程做完一起放出。

 

转载请注明:夜羽的博客 » 【原创】记一次爆破天书奇谈辅助

喜欢 (0)or分享 (0)
发表我的评论
取消评论
表情
(16)个小伙伴在吐槽
  1. Good blog. we love this blog
    Minecraft 1.17 10 Apk2022-05-15 08:19 (2天前)回复
  2. ilahi sözlerini sitemizden inceleyebilirsiniz
    ilahi sözü2022-05-07 12:38 回复
  3. only suribet apps. please click.
  4. Thank you for every other informative blog.
    Erdal Can Alkoçlar2022-04-30 08:12 回复
  5. free chat rooms with mobile chat free chat rooms, you can have free mobile chat from your phone.
    匿名2022-04-29 23:21 回复
  6. Steroid terimi vücutta ki bir hormonun adıdır. kullanmak için steroid satın al ile arama yapan kullanıcıların en doğru şekilde bilgi edinmesi bizim görevimizdir.
    Steroid sipariş2022-04-26 08:27 回复
  7. Congratulations, a successful article work. Steroid satın al ve hormonlarını kullanarak güçlü bir vücuda sahip ol! Spor yaptıktan sonra kas onarımının desteklenmesi için steroide ihtiyaç duyduğunuzu biliyor muydunuz?
  8. Thank you for every other informative blog.
  9. Thank you for every other informative blog.
  10. New app here. We are legend !
  11. insta follower gift 3 million
  12. 2022 de diş küçültme tedavisi arayanlara özel bir çalışma sunarız
  13. First of all, thank you for writing such an article. every word is full of knowledge
  14. First of all, thank you for writing such an article. every word is full of knowledge
  15. Congratulations to the editorial staff. The article you have prepared is quite beautiful. I got a lot of good information.
  16. First of all, thank you for writing such an article. every word is full of knowledge
    kas kiralık villa2022-04-05 06:47 回复
隐藏
变装