首页
社区
课程
招聘
[原创]热血江湖1703版,分析!来个精啊!!!!哈~
发表于: 2007-3-25 18:33 7654

[原创]热血江湖1703版,分析!来个精啊!!!!哈~

2007-3-25 18:33
7654
偶电脑不知道咋地了!不能更新!没办法,只能将就分析了!

游戏:热血江湖
版本:1703版

有无壳:无
算法:程序涉及到的加密算法有SHA-1,MD4,MD5,AES等

登录机制:
    登陆部分的代码是程序运行后直到用户开始登陆才动态解密加载进来的,这部分代码中含有关键的密码加密代码。
但他的基地址是不固定的,每次重启程序后都不一样。另一个头疼的是,不能半路attach到这个进程里,程序做了反跟踪
处理,使得调试比较困难。目前登陆的过程是这样的:
    1,进入游戏登录画面,用户输入的用户名是明码的,密码则是被他的一个系统钩子先拿到然后做了转换,具体的没看
       大致上应该是建立了一个映射表来存这些字符,最终内存中能看到的只有以0x21为起始的字节,比如我输入654321,他的内存
       中看到的就是0x21,0x22,0x23,0x24,0x25,0x26,而如果输入的是abcd,他内存中则是0x21,0x22,0x23,0x24,所以密码
       的明码只能通过对照表读出来。
      *1700版以前,这部分是没有的。密码就是明码存放的。而且地址也是相对固定的。
    2,用户输入完用户名和密码点击登陆后,程序就会动态解密出关键部分代码,用IDA看不出这段代码的,可能只是一段DATA,
       不是code,这时候程序就会对密码加密,目前只对密码做了加密,(*1700版以前,这部分是没有的)。加密的核心是MD5算法,
        之后又使用了他们自己的一个根据时间来加密的算法,目前还没有公布出名字,外界也没有见到过。
    3,使用用户名和密码构造认证封包,格式如下:
        00 80 44 00 08 00 70 72 6F 67 72 61 6D 78 28 00 32 36 30 35 36 36 39 65 32 64 62 36 37 35 64 61 38 34 32 62 32 31 31 36 32 66 66 64 39 64 39 33 65 35 35 62 30 65 30 35 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
        | c |  plen  ulen  |----user name-------|  plen |=============加密后的密码,长度是40字节==============================================================================|   panding

        服务器会根据用户名在数据库找到密码,然后是用同样的算法计算出40字节,比对是否一致,其中因为加密过程中使用时间相关的信息,
        所以发送以前发送过的封包同样会失败,一模一样的也会失败。失败了的话,服务器就会发回如下封包:
        01 80 04 00 0A 00 03 00
        | c |  plen |      |
       
        如果多次验证失败返回的是:
        01 80 plen + 一串汉字(说你的密码错误了,将被锁住一段时间)+时间
       
        如果验证成功则返回:
        01 80 0F 00 00 00 29 00 08 00 70 72 6F 67 72 61 6D 78 00
        | c |  plen              ulen  |       uname        |

     4, 发送下一个封包,通知服务器列出服务器列表内容:
        16 80 00 00
        | c |
     5,。。。。

还有一个很严重的问题!映射表偶搞不定哈哈!

请各位观众继续等待下一篇文章 热血江湖最新版本 分析!(有时间在搞哈・~)

朽木 QQ:96262
03-25-2007

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (15)
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
2
你的分析思路比较清晰,不过缺少反汇编代码分析,一般是不可以加精的。
2007-3-25 18:49
0
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
3
晕!映射表我要在简单的搞下!你就能写一个很不错的内存木马了!h哈哈!这样都不能给加精啊?那拉到吧!
2007-3-25 19:18
0
雪    币: 146
活跃值: (33)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
4
楼上的是被放出来的朽木?还是朽木的face?
2007-3-25 19:20
0
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
5
我就是我!小鸟一只!
2007-3-25 19:21
0
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
6
最初由 笨笨雄 发布
你的分析思路比较清晰,不过缺少反汇编代码分析,一般是不可以加精的。


我也想把所有的都写出来!包括映射表内容!
但是我怕有人用我的文章写木马啊!那不是太便宜它们了吗?
2007-3-25 19:28
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
7
最初由 朽木 发布
晕!映射表我要在简单的搞下!你就能写一个很不错的内存木马了!h哈哈!这样都不能给加精啊?那拉到吧!


加精不严格一点,怎么能把牛人看家本领都勾引出来呢
2007-3-25 19:32
0
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
8
不能爆漏自己!爆漏了警察叔叔会抓的!多人要低调!哈哈!
2007-3-25 19:40
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
9
ntdll.ZwAllocateVirtualMemory

貌似所有申请内存的函数始终都使用到这个函数。

在可以DUMP的情况,增加一个PE区段,或者增加PE最后一个区段的大小,在上述函数的RET处下断,修改其申请到的内存地址为你增加的PE空间。在相关数据解密完成之后,DUMP下就可以了。也可以分开DUMP,然后用WINHEX合成一个文件,方便分析。

假如不允许PE工具DUMP它的进程,而你又可以调试,那么你可以修改程序代码,将相关内存区域数据写到文件中。

程序没有自校验的情况下也可以静态修改程序的代码,当然你能静态把校验代码搞定,也没问题。

如果上面3个方法都搞不定,那就只有用IDC模拟它的解密算法,静态把代码解出来,或者写一个插件,直接将解密的反汇编代码搬过去就可以了。

当然也可以找出程序使用的ANTI DUMP方法,绕过它,为程序写一个专用的Dumper。

面对这么多限制,楼主仍然能分析出这么多信息。为什么不介绍一下你的思路以及你使用的工具呢?

纯粹讨论技术以及指出该网游的安全漏洞嘛,又不是真的写盗号木马,这样不犯法吧?
2007-3-25 20:28
0
雪    币: 249
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
10
自己建立映射表,热血得密码只支持数字和字母,连符号都不支持,只需要在极短得时间内输入a~z 0~9,然后删除就好了 ,然后等待用户输入,由于我安装顺序输入了我知道得字符,而所有用户可能输入得字符都做好了映射,于是很简单就可以得到了。

呵呵补充一下,朽木不知道你是哪个,记得XX了TX但是不要装B哦.
2007-3-25 21:25
0
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
11
语言具有挑衅-_-!! 楼上的嘴好臭哦~`俺可没XX过啥TX,.既然分析游戏是装B那俺以后不和你们玩了``俺自己玩去了.闪之~```````go.go.go...
2007-3-25 22:59
0
雪    币: 2943
活跃值: (1788)
能力值: ( LV9,RANK:850 )
在线值:
发帖
回帖
粉丝
12
楼主,不要着急嘛,呵呵。贴出来就是让别人学习的呀。应该尽量写得让人懂,自然会有人加精哟。
三二句汉语,让偶等怎么收藏呀。
2007-3-26 07:35
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
我也用封包查过本机和服务器的验证信息,可恶的时间戳加密了
2007-3-26 10:10
0
雪    币: 101
活跃值: (12)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
14
做事低调点好
2007-3-26 12:35
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
期待楼主把文章写全
2007-3-26 14:09
0
雪    币: 9
活跃值: (142)
能力值: ( LV12,RANK:200 )
在线值:
发帖
回帖
粉丝
16
晕,这里成了黑客集中营了???连WPE封包分析都往这里发?
2007-3-30 02:29
0
游客
登录 | 注册 方可回帖
返回
//