-
-
[旧帖] [求助]与某外挂的拉锯战,顺带求助大家是否有遇到过这样的验证。[Shine.Z] 0.00雪花
-
发表于: 2015-5-1 19:52
-
一个月前,接到朋友的委托,对某外挂进行破解。
破解过程中,发现这外挂的作者做的十分谨慎。为什么这么说呢?
1、早前查壳就发现了是VMP强壳,好不容易脱壳了,发现新版变成了Winlicense/Themida。
(作者更新的时候还不忘与时俱进。
)
2、脱壳后,利用线程委托进行了校验,设置异常退出。
3、注册与登录界面均无提示,防止了利用字符串搜索查找关键CALL的爆破。
4、网络验证截获的包是全加密的。以 ?? 00 00 00 四字节开头。
5、网络验证的心跳包60s一次,截获的数据包每次都不一样,每次验证连接的端口从6801-6809轮询。
6、网络验证不使用域名,而直接使用固定IP。(修改hosts没用的,需要内存动态修改。)
7、使用了动态标题,防止捕获注入。
已经研究了一个月时间,对此挂有了一点小了解。目前找到的方法,是使用内存补丁,对网络验证的ip进行修改。想去山寨他的验证系统。
但是网络验证这一块,经验不足。没有办法,识别到作者用了什么验证。
需要各位大牛,或接触过的朋友给点思路与解决办法。告诉我这到底用的是什么验证。
留下原版附件,验证界面截图还有抓包的数据,大家一起帮着分析分析!谢谢!
--Shine.Z
图:验证界面
图:心跳包抓包数据
发送封包
接收封包
云盘链接: http://pan.baidu.com/s/1bnHE2IV 密码: h6sf
破解过程中,发现这外挂的作者做的十分谨慎。为什么这么说呢?
1、早前查壳就发现了是VMP强壳,好不容易脱壳了,发现新版变成了Winlicense/Themida。
(作者更新的时候还不忘与时俱进。
)2、脱壳后,利用线程委托进行了校验,设置异常退出。
3、注册与登录界面均无提示,防止了利用字符串搜索查找关键CALL的爆破。
4、网络验证截获的包是全加密的。以 ?? 00 00 00 四字节开头。
5、网络验证的心跳包60s一次,截获的数据包每次都不一样,每次验证连接的端口从6801-6809轮询。
6、网络验证不使用域名,而直接使用固定IP。(修改hosts没用的,需要内存动态修改。)
7、使用了动态标题,防止捕获注入。
已经研究了一个月时间,对此挂有了一点小了解。目前找到的方法,是使用内存补丁,对网络验证的ip进行修改。想去山寨他的验证系统。
但是网络验证这一块,经验不足。没有办法,识别到作者用了什么验证。
需要各位大牛,或接触过的朋友给点思路与解决办法。告诉我这到底用的是什么验证。
留下原版附件,验证界面截图还有抓包的数据,大家一起帮着分析分析!谢谢!
--Shine.Z
图:验证界面
图:心跳包抓包数据
发送封包
接收封包
云盘链接: http://pan.baidu.com/s/1bnHE2IV 密码: h6sf
