简单外挂的免验证处理～希望能给新手一点启发～-软件逆向-看雪-安全社区|安全招聘|kanxue.com

简单外挂的免验证处理～希望能给新手一点启发～

发表于: 2004-6-2 23:26 12899

简单外挂的免验证处理～希望能给新手一点启发～

LOCKLOSE

2004-6-2 23:26

12899

一直也没写过什么，就写这个东东给刚刚入门的朋友吧。
目标程序：红影（“枪”兄弟一直要求破解，最近无聊所以就拿它开刀了）
原因：软件的服务器已经关闭，程序需要连接服务器进行验证。所以要去掉验证的部分，使验证成为空壳。
★过程部分★
程序由ASPR老版本加壳，不会手脱的可以用AsprStripper脱壳，脱壳以后用可以用静态分析工具C32ASM或IDA等静态分析软件分析！注意，网络验证的程序都会发送一个数据包，里面包含IP和用户输入的资料，所以查看了一下，发现了一个IP地址，由于该服务器已经关闭，连接起来也慢，所以索性用HEX编辑器查找该IP地址，修改成本地的IP，192.168.0.1,这样返回数据能快一点（个人感觉^_^）。因为由输入框所以下断GetDlgItemTextA，碰碰运气，断下了几次后来发现了一条PUSH 0042723C，压入的就是IP地址。可以直接在这里下断的，停在这里以后，慢慢跟，
00401C88 .  68 3C724200       push REDSHADO.0042723C             ;  ASCII "192.168.0.1" ★在这里下断
00401C8D .  68 94A94200       push REDSHADO.0042A994             ;  ASCII "431"
00401C92 .  68 74A94200       push REDSHADO.0042A974             ;  ASCII "124"
00401C97 .  E8 73F3FFFF       call REDSHADO.0040100F ★F8直接跳过，跟进去也没什么东西
00401C9C .  83C4 0C          add esp,0C
00401C9F .  8945 FC          mov dword ptr ss:[ebp-4],eax
00401CA2 .  8B55 FC          mov edx,dword ptr ss:[ebp-4]
00401CA5 .  8955 F0          mov dword ptr ss:[ebp-10],edx       ;  WS2_32.71A3224C
00401CA8 .  837D F0 64       cmp dword ptr ss:[ebp-10],64
00401CAC .  7F 27             jg short REDSHADO.00401CD5 ★这里不能跳，跳了就没戏了
00401CAE .  837D F0 64       cmp dword ptr ss:[ebp-10],64
00401CB2 .  E9 D2000000       je REDSHADO.00401D89 ★注意这里，其他的调转动态跟一下就知道跳哪去了，只要这里跳就不会验证了
00401CB7    00                db 00
00401CB8 .  8B45 F0          mov eax,dword ptr ss:[ebp-10]
00401CBB .  83C0 01          add eax,1
00401CBE .  8945 F0          mov dword ptr ss:[ebp-10],eax
00401CC1 .  837D F0 04       cmp dword ptr ss:[ebp-10],4
00401CC5 .  0F87 67010000    ja REDSHADO.00401E32
00401CCB .  8B4D F0          mov ecx,dword ptr ss:[ebp-10]
00401CCE .  0F84 D1000000 jmp dword ptr ds:[ecx*4+401E8F]
00401CD5 >  817D F0 C8000000 cmp dword ptr ss:[ebp-10],0C8
00401CDC .  0F84 33010000    je REDSHADO.00401E15
00401CE2 .  817D F0 2C010000 cmp dword ptr ss:[ebp-10],12C
00401CE9 .  0F84 26010000    je REDSHADO.00401E15
00401CEF .  817D F0 90010000 cmp dword ptr ss:[ebp-10],190
00401CF6 .  0F84 19010000    je REDSHADO.00401E15
00401CFC .  E9 31010000       jmp REDSHADO.00401E32
00401D01 > \8BF4             mov esi,esp
00401D03 .  68 B8AA4200       push REDSHADO.0042AAB8             ; /Text = ""
00401D08 .  68 F9030000       push 3F9                            ; |ControlID = 3F9 (1017.)
00401D0D .  8B55 08          mov edx,dword ptr ss:[ebp+8]       ; |SHELL32.004E04E0
00401D10 .  52                push edx                            ; |hWnd = 71A3224C
00401D11 .  FF15 E0D54200    call dword ptr ds:[<&user32.SetDlgIt>; \SetDlgItemTextA
00401D17 .  3BF4             cmp esi,esp
00401D19 .  E8 A2190000       call REDSHADO.004036C0
00401D1E .  E9 0F010000       jmp REDSHADO.00401E32
00401D23 >  8BF4             mov esi,esp
00401D25 .  68 28724200       push REDSHADO.00427228             ; /Text = "Winsock 32....!"
00401D2A .  68 F9030000       push 3F9                            ; |ControlID = 3F9 (1017.)
00401D2F .  8B45 08          mov eax,dword ptr ss:[ebp+8]       ; |SHELL32.004E04E0
00401D32 .  50                push eax                            ; |hWnd = 00000002
00401D33 .  FF15 E0D54200    call dword ptr ds:[<&user32.SetDlgIt>; \SetDlgItemTextA
这个比较简单。因为“枪”兄弟一直没搞定，要我帮下忙，所以就再这里献丑了。

修改处00401CB2 将JE REDSHADO.00401E15修改为JMP REDSHADO.00401E15
偶是菜鸟。希望能给刚刚入门的兄弟们一点启发～^_^附件是已经修改的程序源程序我不知道哪下“枪”兄弟知道哪有的下。附件加壳了。
注：这个软件是红月的外挂，应该比较老了。所以验证方法比较简单～
点击下载：附件！

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・10

免费・7

支持

最新回复 (19)
▄︻┳═一雪币： 272 活跃值： (310) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	▄︻┳═一 2 楼哇~！够详细补充~：由于外挂加壳的原程序只是为啦~！提供服务器信息的验证功能。所以其实原始程序并未再文件内~！其实是通过远程服务器的数据提供的信息数据 2004-6-3 00:55 0
zw2725 雪币： 208 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	zw2725 3 楼顶，谢谢 2004-6-3 02:10 0
xyzliuin 雪币： 200 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 49 粉丝 0 关注私信	xyzliuin 4 楼帮忙看看 http://bbs.pediy.com/showthread.php?s=&threadid=1569 2004-6-3 08:43 0
e_pegasus 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	e_pegasus 5 楼这个认证确实很简单，我的运气很栽，开始学破解是为了破个幻灵外挂（网络认证的，现在已经关了）半年多了吧，还没搞出来，郁闷 2004-6-3 12:43 0
LOCKLOSE 雪币： 14940 活跃值： (4728) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1040 粉丝 21 关注私信	LOCKLOSE 2 6 楼最初由 e_pegasus 发布这个认证确实很简单，我的运气很栽，开始学破解是为了破个幻灵外挂（网络认证的，现在已经关了）半年多了吧，还没搞出来，郁闷发上来看看吧。这几天无聊。也许会帮你弄弄～ 2004-6-3 15:40 0
daxuebin 雪币： 220 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 1 关注私信	daxuebin 7 楼 LOCKLOSE大侠: 我有一个打牌软件的外挂这个软件大部分时间是免费使用的,用户帐号和密码均是ronin2002 不过有时候服务器不开的话就没法使用,这个软件好象关键数据必须要通过服务器传回来才能正确使用,光跳过是不能正确使用的,我把下载地址给你,你可以看一下如果能破解的话千万写一篇教学让我等开开眼界! http://game.dgidea.com/software/bfatom121.zip 2004-6-3 20:31 0
LOCKLOSE 雪币： 14940 活跃值： (4728) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1040 粉丝 21 关注私信	LOCKLOSE 2 8 楼别叫我大侠，我也是菜鸟～嘿嘿，我有时间会看看的。这几天郁闷死了。:( 2004-6-4 06:50 0
LOCKLOSE 雪币： 14940 活跃值： (4728) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1040 粉丝 21 关注私信	LOCKLOSE 2 9 楼这个软件怎么输入什么都是这个窗口?这个就是服务器关闭时的样子? 2004-6-4 09:21 0
e_pegasus 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	e_pegasus 10 楼程序在我的邮箱里， 1998foot@china.com 密码1879314ae 2004-6-4 12:45 0
yzdlm 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	yzdlm 11 楼这是一个传奇的外挂，服务器老是验证失败，很讨厌，麻烦楼主帮我破了，我脱了壳了，但是不知道接下去怎么操作（呵呵，还没学会）还望楼主帮忙啊！！谢谢顺便能把步骤发上来让我学习学习更好了附件里的一个是没脱壳的，另外那个是脱过壳的因为比较大，分成2个文件这个是脱壳过的：附件！这个是没脱的：附件！ 2004-6-4 12:47 0
e_pegasus 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	e_pegasus 12 楼最初由 e_pegasus 发布这个认证确实很简单，我的运气很栽，开始学破解是为了破个幻灵外挂（网络认证的，现在已经关了）半年多了吧，还没搞出来，郁闷请斑竹不要封我的ID，这个程序我真的搞了很久，认证服务器在一年前就关了，至于幻灵游侠2。5这个游戏也马上就要关闭，我纯粹是处于学习的目的这个绝对是高手写的，主程序是认证程序，，用其他的都不能跟，只能用SOFTICE+FROGSOTICE跟，用DELPHI写的，脱壳后用DEDE查看找不到那个确定按键，字符输入没有用GETWINDOWTEXTA，而是用一个循环里面的截获键盘消息，然后读内存，真正的外挂代码部分在一个DLL里面（UPX加的壳），而且认证后还有几个参数设置程序在我的那个邮箱的收件箱里，那个解压包就是 2004-6-4 13:05 0
enter 1688 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	enter 1688 13 楼最初由 LOCKLOSE 发布别叫我大侠，我也是菜鸟～嘿嘿，我有时间会看看的。这几天郁闷死了。:( 还不是大侠,都这么厉害的我一个游戏外挂,都破了N天了,也没成功帮我看看啊!! 2004-6-4 17:35 0
daxuebin 雪币： 220 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 1 关注私信	daxuebin 14 楼最初由 LOCKLOSE 发布这个软件怎么输入什么都是这个窗口?这个就是服务器关闭时的样子? 这个软件的用户名和密码必须输入ronin2002 如果能够登陆服务器就象现在这个样子如果服务器关闭是会有提示的,其他的任何错误输入也象现在这个样子能进去但是不能使用 2004-6-4 19:38 0
LOCKLOSE 雪币： 14940 活跃值： (4728) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1040 粉丝 21 关注私信	LOCKLOSE 2 15 楼最初由 daxuebin 发布这个软件的用户名和密码必须输入ronin2002 如果能够登陆服务器就象现在这个样子如果服务器关闭是会有提示的,其他的任何错误输入也象现在这个样子能进去但是不能使用你试试看这个吧,我这里测试输入什么都可以了.点击下载：附件！ 2004-6-4 21:33 0
LOCKLOSE 雪币： 14940 活跃值： (4728) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1040 粉丝 21 关注私信	LOCKLOSE 2 16 楼希望不要在发类似要求的东西了.发了偶这菜鸟也不会搞了.这样下去对论坛不好~嘻嘻.各位自己琢磨吧.有问题在发帖子求助,别自己不动手,:D 2004-6-4 21:35 0
daxuebin 雪币： 220 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 1 关注私信	daxuebin 17 楼 LOCKLOSE你好: 首先谢谢你但是这个软件还是不行算了这个软件我搞了很长时间没搞定,这个软件的正确运行必须从服务器上接收到正确的参数,否则无法运行,看来只能留给未来的高手去解决了! 2004-6-4 22:21 0
LOCKLOSE 雪币： 14940 活跃值： (4728) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1040 粉丝 21 关注私信	LOCKLOSE 2 18 楼最初由 daxuebin 发布 LOCKLOSE你好: 首先谢谢你但是这个软件还是不行算了这个软件我搞了很长时间没搞定,这个软件的正确运行必须从服务器上接收到正确的参数,否则无法运行,看来只能留给未来的高手去解决了! 你不是说只要出图片上的就是正常了吗?壳子脱了以后就这样了,我输入什么都出现那个窗口反而使用你给的号码出了共享号码未开放的提示.没明白到底什么意思.我不玩这些游戏.也不知道这个东东什么时候才正常使用,我很少动外挂.嘻嘻.:D 2004-6-5 01:05 0
suuuuu 雪币： 864 活跃值： (5124) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 299 粉丝 8 关注私信	suuuuu 19 楼顶！ 2021-5-8 09:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

LOCKLOSE

发帖

1040

回帖

100

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
▄︻┳═一雪币： 272 活跃值： (310) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	▄︻┳═一 2 楼哇~！够详细补充~：由于外挂加壳的原程序只是为啦~！提供服务器信息的验证功能。所以其实原始程序并未再文件内~！其实是通过远程服务器的数据提供的信息数据 2004-6-3 00:55 0
zw2725 雪币： 208 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	zw2725 3 楼顶，谢谢 2004-6-3 02:10 0
xyzliuin 雪币： 200 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 49 粉丝 0 关注私信	xyzliuin 4 楼帮忙看看 http://bbs.pediy.com/showthread.php?s=&threadid=1569 2004-6-3 08:43 0
e_pegasus 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	e_pegasus 5 楼这个认证确实很简单，我的运气很栽，开始学破解是为了破个幻灵外挂（网络认证的，现在已经关了）半年多了吧，还没搞出来，郁闷 2004-6-3 12:43 0
LOCKLOSE 雪币： 14940 活跃值： (4728) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1040 粉丝 21 关注私信	LOCKLOSE 2 6 楼最初由 e_pegasus 发布这个认证确实很简单，我的运气很栽，开始学破解是为了破个幻灵外挂（网络认证的，现在已经关了）半年多了吧，还没搞出来，郁闷发上来看看吧。这几天无聊。也许会帮你弄弄～ 2004-6-3 15:40 0
daxuebin 雪币： 220 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 1 关注私信	daxuebin 7 楼 LOCKLOSE大侠: 我有一个打牌软件的外挂这个软件大部分时间是免费使用的,用户帐号和密码均是ronin2002 不过有时候服务器不开的话就没法使用,这个软件好象关键数据必须要通过服务器传回来才能正确使用,光跳过是不能正确使用的,我把下载地址给你,你可以看一下如果能破解的话千万写一篇教学让我等开开眼界! http://game.dgidea.com/software/bfatom121.zip 2004-6-3 20:31 0
LOCKLOSE 雪币： 14940 活跃值： (4728) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1040 粉丝 21 关注私信	LOCKLOSE 2 8 楼别叫我大侠，我也是菜鸟～嘿嘿，我有时间会看看的。这几天郁闷死了。:( 2004-6-4 06:50 0
LOCKLOSE 雪币： 14940 活跃值： (4728) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1040 粉丝 21 关注私信	LOCKLOSE 2 9 楼这个软件怎么输入什么都是这个窗口?这个就是服务器关闭时的样子? 2004-6-4 09:21 0
e_pegasus 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	e_pegasus 10 楼程序在我的邮箱里， 1998foot@china.com 密码1879314ae 2004-6-4 12:45 0
yzdlm 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	yzdlm 11 楼这是一个传奇的外挂，服务器老是验证失败，很讨厌，麻烦楼主帮我破了，我脱了壳了，但是不知道接下去怎么操作（呵呵，还没学会）还望楼主帮忙啊！！谢谢顺便能把步骤发上来让我学习学习更好了附件里的一个是没脱壳的，另外那个是脱过壳的因为比较大，分成2个文件这个是脱壳过的：附件！这个是没脱的：附件！ 2004-6-4 12:47 0
e_pegasus 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	e_pegasus 12 楼最初由 e_pegasus 发布这个认证确实很简单，我的运气很栽，开始学破解是为了破个幻灵外挂（网络认证的，现在已经关了）半年多了吧，还没搞出来，郁闷请斑竹不要封我的ID，这个程序我真的搞了很久，认证服务器在一年前就关了，至于幻灵游侠2。5这个游戏也马上就要关闭，我纯粹是处于学习的目的这个绝对是高手写的，主程序是认证程序，，用其他的都不能跟，只能用SOFTICE+FROGSOTICE跟，用DELPHI写的，脱壳后用DEDE查看找不到那个确定按键，字符输入没有用GETWINDOWTEXTA，而是用一个循环里面的截获键盘消息，然后读内存，真正的外挂代码部分在一个DLL里面（UPX加的壳），而且认证后还有几个参数设置程序在我的那个邮箱的收件箱里，那个解压包就是 2004-6-4 13:05 0
enter 1688 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	enter 1688 13 楼最初由 LOCKLOSE 发布别叫我大侠，我也是菜鸟～嘿嘿，我有时间会看看的。这几天郁闷死了。:( 还不是大侠,都这么厉害的我一个游戏外挂,都破了N天了,也没成功帮我看看啊!! 2004-6-4 17:35 0
daxuebin 雪币： 220 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 1 关注私信	daxuebin 14 楼最初由 LOCKLOSE 发布这个软件怎么输入什么都是这个窗口?这个就是服务器关闭时的样子? 这个软件的用户名和密码必须输入ronin2002 如果能够登陆服务器就象现在这个样子如果服务器关闭是会有提示的,其他的任何错误输入也象现在这个样子能进去但是不能使用 2004-6-4 19:38 0
LOCKLOSE 雪币： 14940 活跃值： (4728) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1040 粉丝 21 关注私信	LOCKLOSE 2 15 楼最初由 daxuebin 发布这个软件的用户名和密码必须输入ronin2002 如果能够登陆服务器就象现在这个样子如果服务器关闭是会有提示的,其他的任何错误输入也象现在这个样子能进去但是不能使用你试试看这个吧,我这里测试输入什么都可以了.点击下载：附件！ 2004-6-4 21:33 0
LOCKLOSE 雪币： 14940 活跃值： (4728) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1040 粉丝 21 关注私信	LOCKLOSE 2 16 楼希望不要在发类似要求的东西了.发了偶这菜鸟也不会搞了.这样下去对论坛不好~嘻嘻.各位自己琢磨吧.有问题在发帖子求助,别自己不动手,:D 2004-6-4 21:35 0
daxuebin 雪币： 220 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 1 关注私信	daxuebin 17 楼 LOCKLOSE你好: 首先谢谢你但是这个软件还是不行算了这个软件我搞了很长时间没搞定,这个软件的正确运行必须从服务器上接收到正确的参数,否则无法运行,看来只能留给未来的高手去解决了! 2004-6-4 22:21 0
LOCKLOSE 雪币： 14940 活跃值： (4728) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1040 粉丝 21 关注私信	LOCKLOSE 2 18 楼最初由 daxuebin 发布 LOCKLOSE你好: 首先谢谢你但是这个软件还是不行算了这个软件我搞了很长时间没搞定,这个软件的正确运行必须从服务器上接收到正确的参数,否则无法运行,看来只能留给未来的高手去解决了! 你不是说只要出图片上的就是正常了吗?壳子脱了以后就这样了,我输入什么都出现那个窗口反而使用你给的号码出了共享号码未开放的提示.没明白到底什么意思.我不玩这些游戏.也不知道这个东东什么时候才正常使用,我很少动外挂.嘻嘻.:D 2004-6-5 01:05 0
suuuuu 雪币： 864 活跃值： (5124) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 299 粉丝 8 关注私信	suuuuu 19 楼顶！ 2021-5-8 09:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复