[原创]某P保护的一款音乐类PC游戏的分析之----dump协议号-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]某P保护的一款音乐类PC游戏的分析之----dump协议号

发表于: 2019-10-16 15:50 6016

[原创]某P保护的一款音乐类PC游戏的分析之----dump协议号

少妇之友

2019-10-16 15:50

6016

本来是学习一下某P的技术，后来分析一下这款游戏，没有多少技术含量，就发出来献献丑，给各位看客一个抛砖引玉的作用吧。

经过我的测试发现，这里就是我想找的，游戏组包Post给Socket系统的Dispatch点了。就是那个call dword ptr [edx+8]

然后跟进去单步，然后发现了一些有意思的东西

传入的是一个类指针，然后通过虚函数取出类名和协议号，暴露了！

于是经过研究，这是一个网络通信message类指针，里面有CEvent*开头的类名称和对应的协议ID。

message id的枚举：写一个IDA脚本，枚举出dll内所有的CEvent开头的字符串，然后反向枚举出类指针，再通过类指针获取到message id

脚本如下

跑完了之后看了一下结果

[9071]CEventUIOperation

[63551]CEventBeginGlobalMatch

[9003]CEventUserLogOut

[32752]CEventAddKtvStarValue

[32603]CEventPetTowerEnter

[32605]CEventPetTowerLeave

[32614]CEventPetTowerFinishNode

[6078]CEventTglogOssUIButtonLimit

[32451]CEventLoveAlbumUploadPhoto

[6063]CEventDynamicParam2Client

[9007]CEventEditRole

[1000]CEventTest

[10006]CEventNoticeHealthStatus

[6079]CEventPlayerTransform

[62379]CEventGlobalAds

[36024]CEventCollocationOSS

[9105]CEventHangUpStateChange

[5059]CEventChangeAvtarItem

[37031]CEventNotifyQQWeiblogMsg

[27525]CEventOpenVipBox

[9547]CEventKTVSaveAudio

[32332]CEventChangeVipRoomProtrait

[19010]CEventActivityRewards

[8540]CEventLoadDungeonAward2

[5058]CEventFusion

[8031]CEventPlayerChangeAvatar

[64444]CEventTangoActivityNotifySelectModelResult

[5096]CEventPetShift

[61855]CEventQuestClientTrigger

[64441]CEventTangoActivityGetTopicInfoRes

[65293]CEventLimitedTreasureExchange

[65282]CEventAMQuestLotteryOpenSubUIRes

[63774]CEventInnerActivityEnter

......

至此，协议号dump出来了

后续分析中，发现有的协议号调用了某P的TerSafe中封包加密，有时间再分析吧。

看了一下目录结构，研究了一下3D引擎，没看出什么东西，然后又去官网看了一下，发现是该公司自研的一套引擎，也就下载不到源码分析了，只能瞎子过河了。

大厅说了几句话，然后抓包看

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2019-10-16 15:59 被少妇之友编辑，原因：

#调试逆向

上传的附件：

111.txt （102.40kb，9次下载）

收藏・5

免费・3

支持

最新回复 (9)
zx_348891 雪币： 73 活跃值： (923) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 257 粉丝 0 关注私信	zx_348891 2 楼学习一个。楼主这个是用IDA调试的？还是说可以直接在IDA的代码中通过你这个脚本拿到这些信息 2019-10-16 18:04 0
Editor 雪币： 24479 活跃值： (62844) 能力值： (RANK：135 ) 在线值：发帖 1591 回帖 4390 粉丝 1717 关注私信	Editor 3 楼感谢分享哦～ 2019-10-17 09:18 0
ggsuper 雪币： 545 活跃值： (247) 能力值： ( LV5，RANK：70 ) 在线值：发帖 7 回帖 76 粉丝 10 关注私信	ggsuper 4 楼这不是qqx5吗，mark 2019-10-17 11:29 0
o冰柠檬o 雪币： 272 活跃值： (209) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 75 粉丝 0 关注私信	o冰柠檬o 7 楼楼主可以把idb丢一份的么？学习下idc的脚本。 2019-10-17 19:57 0
yzlmars 雪币： 110 活跃值： (645) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 51 粉丝 5 关注私信	yzlmars 8 楼我是少妇杀手 2019-10-18 11:51 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 9 楼反向枚举出类指针怎么反向 2019-10-18 17:10 0
kgddc 雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	kgddc 10 楼感谢分享哦～ 2019-10-21 20:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

少妇之友

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (9)
zx_348891 雪币： 73 活跃值： (923) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 257 粉丝 0 关注私信	zx_348891 2 楼学习一个。楼主这个是用IDA调试的？还是说可以直接在IDA的代码中通过你这个脚本拿到这些信息 2019-10-16 18:04 0
Editor 雪币： 24479 活跃值： (62844) 能力值： (RANK：135 ) 在线值：发帖 1591 回帖 4390 粉丝 1717 关注私信	Editor 3 楼感谢分享哦～ 2019-10-17 09:18 0
ggsuper 雪币： 545 活跃值： (247) 能力值： ( LV5，RANK：70 ) 在线值：发帖 7 回帖 76 粉丝 10 关注私信	ggsuper 4 楼这不是qqx5吗，mark 2019-10-17 11:29 0
o冰柠檬o 雪币： 272 活跃值： (209) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 75 粉丝 0 关注私信	o冰柠檬o 7 楼楼主可以把idb丢一份的么？学习下idc的脚本。 2019-10-17 19:57 0
yzlmars 雪币： 110 活跃值： (645) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 51 粉丝 5 关注私信	yzlmars 8 楼我是少妇杀手 2019-10-18 11:51 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 9 楼反向枚举出类指针怎么反向 2019-10-18 17:10 0
kgddc 雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	kgddc 10 楼感谢分享哦～ 2019-10-21 20:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复