[求助]请见多识广的大大赐教下-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 2 楼大概是破了数据包吧我还真见过大牛不在任何逆向分析的前提下把某杀毒软件的数据包格式破了不过原理这东西，说出来大家都觉得没什么，既然没有任何人提过，那就是不能说，说不得告诉你，别人还怎么混饭吃？ 2008-2-21 16:12 0
chinglq 雪币： 207 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 196 粉丝 0 关注私信	chinglq 3 楼版主说的结实！ 2008-2-21 16:28 0
shellwolf 雪币： 2316 活跃值： (129) 能力值： (RANK：410 ) 在线值：发帖 59 回帖 652 粉丝 10 关注私信	shellwolf 10 4 楼不经过逆向就分析出通信协议是可能的。尤其对一些简单的通信。一般外挂不会象大型游戏那样构造复杂的算法。理论上说，只要采样数据达到一定程度，就可以用数学的方法来获得一些信息。比如对查表方式的加密，可以用词频方法来统计分析。正如前两年有报道，广东一位兄弟办了多张信用卡，从而找到了卡号与初始密码的对应关系一样。但我想1楼兄弟提到，不是这么复杂的东西，更多的可能是，编写类似wpe一样的工具，拷贝帐号登陆封包，这非常简单，就是把正确登陆的包记录下来，然后替换假帐号登陆包。其实相当于是盗号。很多外挂服务器，指校验帐号合法性，却不记录同时有多少帐号在登陆。不算是真的破解外挂。相当于是把帐号密码告诉了很多人。所以它不用脱壳，因为它连协议都没有分析，只是替换。而事实上分析外挂协议，很多时候可以不用脱壳，带壳分析就好，因为发登陆包时，程序已经完全展开到内存了。 2008-2-21 16:34 0
chinglq 雪币： 207 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 196 粉丝 0 关注私信	chinglq 5 楼壳狼确实是个好人！现在愿意回答问题的人实在太少了！ 2008-2-21 16:42 0
大能猫雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 37 粉丝 0 关注私信	大能猫 6 楼壳狼大大能找到类似破挂的实例吗我只见过这么一个是这样破的哎是不是您的意思是不是有点像穿甲山带key脱壳一样的一种欺骗= =！ 2008-2-21 17:19 0
大能猫雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 37 粉丝 0 关注私信	大能猫 7 楼哪位大大能给点实质性的资料啊 2008-2-22 00:09 0
大能猫雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 37 粉丝 0 关注私信	大能猫 8 楼每天来看一下 2008-2-22 18:52 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 9 楼 .........呵呵.其实这种应该算作是一种漏洞,可以归类为验证漏洞.早期的外挂包括现在的很多脱机都存在这个漏洞,但有预防和减少的趋势,因为如果堂而皇之的拿出来说,这种漏洞就会消失的更快,因为很多朋友因为自身利益的原因大多都不愿意公布出来,当然就算公布出来也很难等上台面来讲.拿我们现在的观点来看,就是缺乏技术价值.要知道破解外挂是一个完整的商业活动,其利润是很大的,也顺便发发牢骚,正因为如此,我发现在肉类涨价的大环境下依然存在着贬值的东西.算我火星两句吧.而破解外挂如果不通过找相关的验证漏洞来加以破解是很难的,而且效率也是很低的至少我这么认为,因为很多外挂更新速度很快.如果破解的速度跟不上就失去意义.其次要说难度大,其实也是客观存在的,引用论坛牛人的说法,会做外挂的人有几个不精通逆向技术,又有几个不精通C/C++.当然我这里指脱机,那种用按键精灵可以编写的内挂不再讨论的行列.当然这些人对VM的理解也算是很深的,必然他们做的外挂对于绝大多数人来将应该是难度很大的,毕竟这叫做知己知彼.常规方法早被堵上了,现在脱机有几个不是VM满天飞,Themida遍地跑?甚至很多还是私壳,当然这都是很题外很题外的东西了.要知道做破解外挂和做脱机外挂比起来.通常意义来讲后者远大于前者,我指通常.只是的我理解.因为当牛到一定层次的人,就自动飞升去做脱机了,呵呵.从而把外挂破解的难度进一步加大.因为这些多少都是猛牛.因为懂破解外挂的同行大多都因为彼此都是认识等原因而避而不谈,当然也有难度本身就大或者说懂得人时间少的只有一天25个小时. .而就逐渐形成了问如何破解外挂,或者说如何编写制作外挂,从而讨论破解,制作的却甚少.当然包括木马也是,这种也要用到很基本的逆向技术. 对于搂主的问题,我只是说LZ来晚了.[不排除我对时间认识不足].我对这个问题的认知大概是在传奇世界刚刚开始公测也就是 WY的CJB普及的时候认知的,距今多少也有好些年生了.......当然那个时候还不会一点点汇编语言,甚至编程语言,纯粹一个会玩游戏的人.花了几个小时,也许几天,从网上down了一个VB6.0的socket5 代理转发程序源代码,然后通过观察传奇世界的封包格式来达到"破解外挂的目的",当然当时有一个限制也是和楼主一样就是帐号和密码的长度必须和被CLone的正版外挂帐号的长度相一致.因为传奇世界没有用随机种子来作加密处理.这些都是后来才知道,当然之所以用socket 5的服务器端源代码是因为为了修改封包,只得利用好像叫做 e-board 来着一个代理客户端程序,挂SPI曾实现的封包拦截.当然这个软件目前很多挂国外游戏的工作室还在使用.又火星了......55 ,当然现在想想的确当时是很幼稚的,因为现在大家都可以玩的跟皮球桃似的APIHOOK,在当时我兴许还不知道HOOK 是啥,只是有点形象就是programmersolon 出售 HookAPi的LIB文件.800元一份? 忘了.而当时CJB所用的壳是非常厉害的.因为据我了解一直到1.92/1.93才有人公开了相应版本,当然当时好像工作室组织打钱的说法好像不怎么听说.外挂大家是私人玩家在使用,WY论坛每天的帖子貌似都可以以10万计.可能没有这么多,不小心火星一下.而现在想想当时的外挂,不要说VM,连代码变形这些都应该来说很少很少.仅仅是Anti一下Debugger然后再随随便便处理一下IAT.当时流行内核调试器貌似,Ring 3 调试器貌似很少.当然也就弹不上Anti的问题.者都是后来翻阅pediy的存档帖子才知道的. 只可惜等我知道汇编是啥东西的时候已经是 asprotect 横飞的年代了.当然对于forgXt来说随便什么XXprotector都是对他弹琴而已. 仅而感叹时间飞逝,,,吾已老矣...哎. 谁来拯救我呢? 以上纯属个人牢骚.建议没有闲心和想学知识的人都略过不看,以免伤眼球. 2008-2-22 19:56 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 10 楼 forgXt 2008-2-22 21:01 0
wangdell 雪币： 87 活跃值： (47) 能力值： ( LV12，RANK：250 ) 在线值：发帖 52 回帖 328 粉丝 3 关注私信	wangdell 6 11 楼老骥伏枥，志在千里；烈士暮年，壮心不已。 2008-2-22 21:22 0
xbing 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	xbing 12 楼前车之鉴，看看也无妨。。。 2008-2-23 08:44 0
大能猫雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 37 粉丝 0 关注私信	大能猫 13 楼难道这是传说中的不传之密？我只知道这法破挂又简单效率又高还免更新 2008-2-23 13:23 0
沉默人雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	沉默人 14 楼真的是长见识了.. 想当年..传JB 我还用过呢.. 玩的那个来劲.. 2008-2-23 14:09 0
大能猫雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 37 粉丝 0 关注私信	大能猫 15 楼 .......给点材料吧各位大大 2008-2-24 18:11 0
大能猫雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 37 粉丝 0 关注私信	大能猫 16 楼能给点实质的例子或教程啥的吗 2008-2-27 23:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (15)
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 2 楼大概是破了数据包吧我还真见过大牛不在任何逆向分析的前提下把某杀毒软件的数据包格式破了不过原理这东西，说出来大家都觉得没什么，既然没有任何人提过，那就是不能说，说不得告诉你，别人还怎么混饭吃？ 2008-2-21 16:12 0
chinglq 雪币： 207 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 196 粉丝 0 关注私信	chinglq 3 楼版主说的结实！ 2008-2-21 16:28 0
shellwolf 雪币： 2316 活跃值： (129) 能力值： (RANK：410 ) 在线值：发帖 59 回帖 652 粉丝 10 关注私信	shellwolf 10 4 楼不经过逆向就分析出通信协议是可能的。尤其对一些简单的通信。一般外挂不会象大型游戏那样构造复杂的算法。理论上说，只要采样数据达到一定程度，就可以用数学的方法来获得一些信息。比如对查表方式的加密，可以用词频方法来统计分析。正如前两年有报道，广东一位兄弟办了多张信用卡，从而找到了卡号与初始密码的对应关系一样。但我想1楼兄弟提到，不是这么复杂的东西，更多的可能是，编写类似wpe一样的工具，拷贝帐号登陆封包，这非常简单，就是把正确登陆的包记录下来，然后替换假帐号登陆包。其实相当于是盗号。很多外挂服务器，指校验帐号合法性，却不记录同时有多少帐号在登陆。不算是真的破解外挂。相当于是把帐号密码告诉了很多人。所以它不用脱壳，因为它连协议都没有分析，只是替换。而事实上分析外挂协议，很多时候可以不用脱壳，带壳分析就好，因为发登陆包时，程序已经完全展开到内存了。 2008-2-21 16:34 0
chinglq 雪币： 207 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 196 粉丝 0 关注私信	chinglq 5 楼壳狼确实是个好人！现在愿意回答问题的人实在太少了！ 2008-2-21 16:42 0
大能猫雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 37 粉丝 0 关注私信	大能猫 6 楼壳狼大大能找到类似破挂的实例吗我只见过这么一个是这样破的哎是不是您的意思是不是有点像穿甲山带key脱壳一样的一种欺骗= =！ 2008-2-21 17:19 0
大能猫雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 37 粉丝 0 关注私信	大能猫 7 楼哪位大大能给点实质性的资料啊 2008-2-22 00:09 0
大能猫雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 37 粉丝 0 关注私信	大能猫 8 楼每天来看一下 2008-2-22 18:52 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 9 楼 .........呵呵.其实这种应该算作是一种漏洞,可以归类为验证漏洞.早期的外挂包括现在的很多脱机都存在这个漏洞,但有预防和减少的趋势,因为如果堂而皇之的拿出来说,这种漏洞就会消失的更快,因为很多朋友因为自身利益的原因大多都不愿意公布出来,当然就算公布出来也很难等上台面来讲.拿我们现在的观点来看,就是缺乏技术价值.要知道破解外挂是一个完整的商业活动,其利润是很大的,也顺便发发牢骚,正因为如此,我发现在肉类涨价的大环境下依然存在着贬值的东西.算我火星两句吧.而破解外挂如果不通过找相关的验证漏洞来加以破解是很难的,而且效率也是很低的至少我这么认为,因为很多外挂更新速度很快.如果破解的速度跟不上就失去意义.其次要说难度大,其实也是客观存在的,引用论坛牛人的说法,会做外挂的人有几个不精通逆向技术,又有几个不精通C/C++.当然我这里指脱机,那种用按键精灵可以编写的内挂不再讨论的行列.当然这些人对VM的理解也算是很深的,必然他们做的外挂对于绝大多数人来将应该是难度很大的,毕竟这叫做知己知彼.常规方法早被堵上了,现在脱机有几个不是VM满天飞,Themida遍地跑?甚至很多还是私壳,当然这都是很题外很题外的东西了.要知道做破解外挂和做脱机外挂比起来.通常意义来讲后者远大于前者,我指通常.只是的我理解.因为当牛到一定层次的人,就自动飞升去做脱机了,呵呵.从而把外挂破解的难度进一步加大.因为这些多少都是猛牛.因为懂破解外挂的同行大多都因为彼此都是认识等原因而避而不谈,当然也有难度本身就大或者说懂得人时间少的只有一天25个小时. .而就逐渐形成了问如何破解外挂,或者说如何编写制作外挂,从而讨论破解,制作的却甚少.当然包括木马也是,这种也要用到很基本的逆向技术. 对于搂主的问题,我只是说LZ来晚了.[不排除我对时间认识不足].我对这个问题的认知大概是在传奇世界刚刚开始公测也就是 WY的CJB普及的时候认知的,距今多少也有好些年生了.......当然那个时候还不会一点点汇编语言,甚至编程语言,纯粹一个会玩游戏的人.花了几个小时,也许几天,从网上down了一个VB6.0的socket5 代理转发程序源代码,然后通过观察传奇世界的封包格式来达到"破解外挂的目的",当然当时有一个限制也是和楼主一样就是帐号和密码的长度必须和被CLone的正版外挂帐号的长度相一致.因为传奇世界没有用随机种子来作加密处理.这些都是后来才知道,当然之所以用socket 5的服务器端源代码是因为为了修改封包,只得利用好像叫做 e-board 来着一个代理客户端程序,挂SPI曾实现的封包拦截.当然这个软件目前很多挂国外游戏的工作室还在使用.又火星了......55 ,当然现在想想的确当时是很幼稚的,因为现在大家都可以玩的跟皮球桃似的APIHOOK,在当时我兴许还不知道HOOK 是啥,只是有点形象就是programmersolon 出售 HookAPi的LIB文件.800元一份? 忘了.而当时CJB所用的壳是非常厉害的.因为据我了解一直到1.92/1.93才有人公开了相应版本,当然当时好像工作室组织打钱的说法好像不怎么听说.外挂大家是私人玩家在使用,WY论坛每天的帖子貌似都可以以10万计.可能没有这么多,不小心火星一下.而现在想想当时的外挂,不要说VM,连代码变形这些都应该来说很少很少.仅仅是Anti一下Debugger然后再随随便便处理一下IAT.当时流行内核调试器貌似,Ring 3 调试器貌似很少.当然也就弹不上Anti的问题.者都是后来翻阅pediy的存档帖子才知道的. 只可惜等我知道汇编是啥东西的时候已经是 asprotect 横飞的年代了.当然对于forgXt来说随便什么XXprotector都是对他弹琴而已. 仅而感叹时间飞逝,,,吾已老矣...哎. 谁来拯救我呢? 以上纯属个人牢骚.建议没有闲心和想学知识的人都略过不看,以免伤眼球. 2008-2-22 19:56 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 10 楼 forgXt 2008-2-22 21:01 0
wangdell 雪币： 87 活跃值： (47) 能力值： ( LV12，RANK：250 ) 在线值：发帖 52 回帖 328 粉丝 3 关注私信	wangdell 6 11 楼老骥伏枥，志在千里；烈士暮年，壮心不已。 2008-2-22 21:22 0
xbing 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	xbing 12 楼前车之鉴，看看也无妨。。。 2008-2-23 08:44 0
大能猫雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 37 粉丝 0 关注私信	大能猫 13 楼难道这是传说中的不传之密？我只知道这法破挂又简单效率又高还免更新 2008-2-23 13:23 0
沉默人雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	沉默人 14 楼真的是长见识了.. 想当年..传JB 我还用过呢.. 玩的那个来劲.. 2008-2-23 14:09 0
大能猫雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 37 粉丝 0 关注私信	大能猫 15 楼 .......给点材料吧各位大大 2008-2-24 18:11 0
大能猫雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 37 粉丝 0 关注私信	大能猫 16 楼能给点实质的例子或教程啥的吗 2008-2-27 23:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复