 背景    最近在浏览某网络论坛,看到一款刺激战场的吃鸡外挂软件下载量很高,出于对游戏外挂样本的敏感及逆向的专注,就从论坛上下载一个样本,并进行对该游戏外挂样本,深度功能分析及还原破解的逆向实践,主要从外挂样本的功能表现,样本的基础属性、样本的实现功能、样本的验证功能破解进行实践。 基本属性 (分析这些未知的软件切记得在虚拟机环境下进行) 启动游戏辅助样本后,从表面上来看功能确实很强大,透视、距离、显血、自瞄这些都是玩家想用游戏辅助的一个痛点。但这游戏辅助功能都有实现吗?有这么强大了吗? 结合Exeinfo PE和pchunter工具可以得出样本基本属性的结果。 该样本是通过易语言(WTWindow类名是易语言特有)进行开发的,从查壳和区段信息来看,该样本是没有做任何保护的普通样本。
 注册码破解 样本点击开启辅助功能的时候,提示需要先进行获取注册码,进行对样本功能激活,才能正常使用样本的功能。
点击获取注册码按钮,会弹出扫描支付的对话框,但是对话框 是空白的。通过逆向分析得出的结论是,奈何该样本开发作者的服务器,已经过期而且是没有进行备案登记的,所以样本通过http通讯方式,进行向服务器请求支付的二维码图片就请求失败,所以弹出的支付对话框就是空白的界面。
对于要逆向破解程序某功能点时,主要需要通过强大的ollydbg工具进行做动态调试,其他工具如IDA、procmon、pchunter等主要是作为逆向分析破解的辅助点和参考点。 分析易语言样本可采用的通用突破点
注册码的破解流程步骤 在ollydbg工具中,通过下系统API函数也就是弹出对话的MessageBoxA函数下int3断点(F2断点),接着去点击获取的按钮,以触发调用函数,这个时候ollydbg工具中也会触发int3断点,在通过在断点中的堆栈信息上进行回溯分析。
|
|
|
