-
-
[旧帖]
一个简单的已分析的封包验证,转本地
0.00雪花
-
-
[旧帖] 一个简单的已分析的封包验证,转本地
0.00雪花
最近拿了个老版的外挂破解。很简单,封包是固定格式的,我已经分析出来正确的格式了,打包在附件里面。我也写好了封包本地验证的代码,一并打包了,还有分析过程。我刚开始是想直接爆破的。
0040C549 E8 82ADFFFF call DKstart.004072D0
在这个CALL下面只要不跳转就是验证成功,但是爆破之后外挂会打开网页,就是不会运行游戏。也就是还有暗桩。
还有一个方法是0040C604 E8 37A7FFFF call DKstart.00406D40这个CALL下面是取游戏验证时间,连续压入3个时间,只要修改下也可以破解,但是还是不会注入游戏。
于是我最后分析了封包。居然发现格式是固定的!!很快把正确的封包格式弄了出来(见附件)。并且写了本地验证的代码。
关键来了,它是固定IP验证的,不是ASP,PHP之类。所以我通过修改本地连接把IP转到本地,它一共会发送4次数据,但是转向之后它发送了3次之后,最后一次关键数据不发送了!!
然后弹出对话框显示“网络延迟”!!经过分析,发现它不是通过网络验证发现IP被转向的,应该是本地判断的,我原来以为他会检查本地连接的IP,于是通过HOOK等方法转向,还是不行。
搞了几天还是没搞懂,所以上来求助。分全给你们了。希望给我提示下那个“网络延迟”怎么跳过去让它发送最后的数据完成所有的验证。或者提供下转向的方法不会被它检测到。
我还有个想法就是等他解密完成后修改它的IP为127.0.0.1,但是找不到修改的地方,我也脱不了这个壳。望各个大大指点迷津。酬谢。
附件为115的链接,就不用浪费各位大大的分了。
附件里包括:我分析的代码(部分没写出,当时懒的记上去了),本地验证的代码,程序
http://115.com/file/ane5uj17#程序,数据及代码.rar
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!