精 记一次某网游辅助逆向分析过程
初入茅庐
最近闲来无事,想起最近小表弟给我发了一个网址让我帮他看看。
![图片[1]-记一次某网游辅助逆向分析过程-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/5e84c3c511a73ef91a4a00494927e99de703b7f502d6c231b0ce00f53f452d447a52db4a436866c5e43f2f74b6e6c8fc?pictype=scale&from=30013&version=3.3.3.3&fname=640.png&size=750)
我并没有回复,而是默默的点开他发的链接。
![图片[2]-记一次某网游辅助逆向分析过程-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/7b2e7df04883169bf138d1d3f2dc245ea2c7d93c72c45cd2fbdc29e2b72c4e73fcf40495ed45419bc8864af6da721803?pictype=scale&from=30013&version=3.3.3.3&fname=%E5%BE%AE%E4%BF%A1%E5%9B%BE%E7%89%87_20251121134718.png&size=750)
发现这是一个某网游的辅助网,共有三款软件,作为一名喜爱福老玩家,看到这行为十分的生气,而且价格也是出奇的低,出于好奇,我默默的下载了其中一个辅助……
![图片[3]-记一次某网游辅助逆向分析过程-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/0d2a2b8b62ed0a0be85e6333d2ca8fa44c894f9978a698016a1ea12b5be48b6eb7464f60563891dcd0eb823d5d1aa91d?pictype=scale&from=30013&version=3.3.3.3&fname=6401.png&size=750)
下载之后运行程序,看看这个程序跑路了没,服务器连接成功,那应该是没问题。
![图片[4]-记一次某网游辅助逆向分析过程-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/e4b83b20bba6dd58a2a2d7a74e475af36d61f25495a88ff0aef557c3232b153b6a1a1dcd272d9a7418199c090d5a26c4?pictype=scale&from=30013&version=3.3.3.3&fname=6402.png&size=750)
按照国际惯例步骤,先查个壳,把程序拖入到studyPE+和ExeinfoPE里,主要看PE类型、文件类型和所在区段。
![图片[5]-记一次某网游辅助逆向分析过程-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/9531dd62a32566d1db1a233243f800239ce9435669633e67366d1f7927d9709fa2283485c3807255f200d2e91a04bdd3?pictype=scale&from=30013&version=3.3.3.3&fname=64033.png&size=750)
这里入口区段为CODE(貌似中感染了这里先不管他,和正常的区段.test差不多),文件类型为 Borland Delphi 感觉大概率是易语言写的程序,区段也挺干净的,都属于是常见区块里的内容,初步判断这个程序应该是不带壳的,那基本上应该是属于成功一半了。
![图片[6]-记一次某网游辅助逆向分析过程-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/e560523b7b2b955834263e1c8398ca3955bfd40c681d4b5926c895b97eff36430c22434d48223c960d35950865824f1c?pictype=scale&from=30013&version=3.3.3.3&fname=640222.png&size=750)
反调试绕过
那么接下来先让我们的主角x32dbg登场,然后把目标程序拖入到x32dbg中,发现这个程序拖入到x32dbg中是会闪退的。
![图片[7]-记一次某网游辅助逆向分析过程-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/c2d5761d3c3ea40822432801a1c4f594d237b7b4233c15f0402d1cead15a85503f62be520dd7949940963c25135d53de?pictype=scale&from=30013&version=3.3.3.3&fname=640%282%29.png&size=750)
https://www.bilibili.com/video/BV165kEYeEfb/?p=11&share_source=copy_web&vd_source=3be97cfc577d54e942d8c53c036e9bae
![图片[8]-记一次某网游辅助逆向分析过程-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/192e237c479165ba5d6b0d755ec5ac4aece05f9cc00a80d663e29cf4a6bc5b82cf04d7d3d9735f324139a83c9af2f6b4?pictype=scale&from=30013&version=3.3.3.3&fname=6420.png&size=750)
选择查看PEB,可以看到有一个名称为BeingDebugged的函数,正常来说值是为0x0的,当这里发现BeingDebugged的值为0x1,则说明检测到了调试行为.
![图片[9]-记一次某网游辅助逆向分析过程-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/80a0ecd029e708672afbea2da6a08a5b3b54780563dc0d8c659b1feb01bbfe2bffebae2604f0cbcee7c94e2fc56ad356?pictype=scale&from=30013&version=3.3.3.3&fname=64220%281%29.png&size=750)
![图片[10]-记一次某网游辅助逆向分析过程-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/b771152b173f62eda5b7614c898457ca1363e62470ee08f3935ccbb7f0bccd8b57a44484aba331fbe04e732734902aab?pictype=scale&from=30013&version=3.3.3.3&fname=64440.png&size=750)
![图片[11]-记一次某网游辅助逆向分析过程-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/65d433ef34c6ad731ffb6c64b2a9e06b7d150202c497b73c9fafe6649dc6b9c0e0e539e8ea7af0ce07d9cf2b6447f06a?pictype=scale&from=30013&version=3.3.3.3&fname=61140%281%29.png&size=750)
双击地址,找到30的位置,选中右键在内存窗口中转到指定DWORD到内存2进行查看。
![图片[12]-记一次某网游辅助逆向分析过程-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/3d434fdb18cabb096d0387964673000259ffb1724cef7d09bc6095c6584d3c166dd1e25f67099204613206829997dcc9?pictype=scale&from=30013&version=3.3.3.3&fname=6422220.jpg&size=750)
然后在内存2中,发现BeingDebugged是 1,说明正在被调试,只需要把 01 数值改为 00 ,就可以启动程序了。
![图片[13]-记一次某网游辅助逆向分析过程-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/a6dc6a057ef8c4d4942f32d93e70e238257fbd7735cbd77c15cf1169230eed78d10e07aa420698468b46bf3ffd065314?pictype=scale&from=30013&version=3.3.3.3&fname=655540.png&size=750)
![图片[14]-记一次某网游辅助逆向分析过程-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/b11be01a7fca7160cb24f8a93cf8106eae44d5de7df033d7121c9738ae003e1d4324d41dde299c73965ef1326a938c06?pictype=scale&from=30013&version=3.3.3.3&fname=641230.png&size=750)
当然也有更简单的方法,直接使用x32dbg自带的隐藏调试器,把程序拖进去,选中,就会自动的把BeingDebugged的值改为0,这样程序就可以自动绕过这种简单的反调试了。
![图片[15]-记一次某网游辅助逆向分析过程-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/15ef5c3f5a4e176d1faa1bb52565367b78de291f22e0dfd72c2e2b0b4cbda1307eceb7db4326cf65e70fa50c5a8bf44d?pictype=scale&from=30013&version=3.3.3.3&fname=1640.png&size=750)
破解过程
附加程序之后直接进入主模块,明显的易语言特征 xor eax,eax ret,那就验证了前面的说法,这就是个易语言程序。
![图片[16]-记一次某网游辅助逆向分析过程-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/3cdbb2195dabb94df174a0873101ba0fe141bbc20f342cc804c522ef5f2541d5a4ac503e22fbf373cadbb1b8a99379a7?pictype=scale&from=30013&version=3.3.3.3&fname=640%283%29.png&size=750)
![图片[17]-记一次某网游辅助逆向分析过程-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/c3aa88f3a9ff71538f8e9b21086ba30cc1785b6d4fe274616149a490ce2cec5346559684f2392297175bb5df86280791?pictype=scale&from=30013&version=3.3.3.3&fname=64022.png&size=750)
右键当前模块搜索匹配特征,搜索易语言的特征push 0x10001.
![图片[18]-记一次某网游辅助逆向分析过程-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/2638a2e14da65e78da8cf9224901b705255f442dc878c1de83e9462d8fe52848f18f4438d80bfe17393eeec724f445b9?pictype=scale&from=30013&version=3.3.3.3&fname=64110.png&size=750)
逐个进入分析,就会发现上面有存在登录成功的提示,那么这个push大概率就是登录成功的功能窗口。
![图片[19]-记一次某网游辅助逆向分析过程-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/19e5671ca05f0429f0b69f7e670fe6992630374f1913c680a0fe9c901356822259e0257fb7a10e231f86f7525bf2e4db?pictype=scale&from=30013&version=3.3.3.3&fname=640111.png&size=750)
004018A | 68 1E600152 | push 5201601E |回到主模块直接搜索FF 25
![图片[20]-记一次某网游辅助逆向分析过程-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/61b9242919be9823ead96374e0bd8ccac9b7d3b187d84f87a4673bf814d19dd4915106f3cef0916626292eb340caa84e?pictype=scale&from=30013&version=3.3.3.3&fname=6410.png&size=750)
![图片[21]-记一次某网游辅助逆向分析过程-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/3c1d4b4bf6e45550307eb31a9c65a3d7e9e64230aedef9d356fda8d00706d591b72c0854ff7fdf8187513fe310746d28?pictype=scale&from=30013&version=3.3.3.3&fname=644440.png&size=750)
直接就看到了程序的入口,易语言程序入口 mov eax,6 就是程序启动之后往下执行,一直到push 52010001 执行他启动的卡密窗口id。
![图片[22]-记一次某网游辅助逆向分析过程-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/a0392fd2eb12ee91462278d9d9ccc9a7aaefae1d77da292057468eac1ee3057fb6f51fd0de24fd25cddfdf594daf74a8?pictype=scale&from=30013&version=3.3.3.3&fname=111640.png&size=750)
他 push 52010001这个窗口id,之后进入call ,call函数调用的地址是412E6F 那么对应的就是载入启动窗口,这里使用push大法可以破解。
![图片[23]-记一次某网游辅助逆向分析过程-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/e914962b526f613081641b22c8436fccb05290eeb135cc3cff007e53f42f672996a4fe63fe0fdb6b59ec2c92aef85776?pictype=scale&from=30013&version=3.3.3.3&fname=63340.png&size=750)
004018A | 681E600152 | push 5201601E![图片[24]-记一次某网游辅助逆向分析过程-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/6fb165df778ab0917af14f4495858a2b5d7101104ee26e3138f3015cc21f30a8347bba1a3816780d8737773288eb3a11?pictype=scale&from=30013&version=3.3.3.3&fname=6411.png&size=750)
![图片[25]-记一次某网游辅助逆向分析过程-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/1747758226bca7ae8bfd98c6a7171a9a2f03f4075911495eab207516e1d433b39ac4615e7083a3c9cbdcb1e088d95ecb?pictype=scale&from=30013&version=3.3.3.3&fname=641110.png&size=750)
这时候我们在打开我们修补补丁之后的程序,这时候就会发现成功的进入功能模块了,至此,到这里我们就已经成功的把该辅助破解了。
![图片[26]-记一次某网游辅助逆向分析过程-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/02cdf3252f992e20eedf43ff18ef2c41556574e9d7ba7b77695a935cc4eb7ab5337584627c2f3199cd4156f721e6e13d?pictype=scale&from=30013&version=3.3.3.3&fname=641320.png&size=750)
超级版主
