先吐槽一下,悲催的3月11日,该游戏公司,居然停服了我分析了好几个月的游戏,那么多数据就没用了,哼,生气。
不过就当练技术了吧,哈哈。
不过,忍一时越想越气,退一步越想越亏,下载该公司的另一款网游,使劲盘解解气!
10050DD8 - 89 51 20 - mov [ecx+20],edx
10050D16 - C7 41 20 00000000 - mov [ecx+20],00000000
OK,去OD分析第一条,转到地址
10050DD8
,分析后注释如下:
后来我继续追eax的来源,在上层下断后,老是断,无法去游戏里聊天,所以此路不通。
那就不往上追,既然edx是包长,而且edx = [eax+20],那么eax+20这个地址里的包长是哪里来的呢?
好,我们去游戏聊天,发固定长度的话,使包长也等于0x23。断下后,记下eax+20 == 0A5309CC,反复聊天几次发现这个值不变,好的,又祭出CE
监测
0A5309CC,找写入
10050D87 - 89 7E 20 - mov [esi+20],edi
10050DCB - 89 78 20 - mov [eax+20],edi
好嘞,去OD分析
10050D87处的代码(累吧,OD和CE换来换去的用,,,,)
继续追上层
追到这层后,我试着又往上追ebx包长的来源,发现上层也是经常断,那么断了念想吧(同追妹子一样不好追)
纠结了一会,我开始分析上图的倒数第三行:1004FE6E 50 push ecx
对倒数第三行下断,去游戏里聊天,发5个1,使包长等于0x23,然后看看ecx里面的值:
每次聊天断下发现ecx是不变的,只是里面的明文在变,那么我们试着对明文下写入断点(这次居然在OD里下写入断点不奔溃了,哈哈):
断在下图中:
断在这里时,删除内存断点,不要运行,去堆栈窗口找到返回地址,右键跟随到反汇编,返回到了1001E167处
然后我分析这一层的代码,如下:
如注释所说,明文包地址时刻在变,无法分析,只有从包长入手
对上图第一条代码下断,发现每次聊天esi也是不变的,在数据窗口查看esi + 1C4,出出出出大事了,断下时+1C4处有值,运行时没值
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课