背景

最近在瀏覽某網(wǎng)絡(luò)論壇，看到一款刺激戰(zhàn)場(chǎng)的吃雞外掛軟件下載量很高，出于對(duì)游戲外掛樣本的敏感及逆向的專注，就從論壇上下載一個(gè)樣本，并進(jìn)行對(duì)該游戲外掛樣本，深度功能分析及還原破解的逆向?qū)嵺`，主要從外掛樣本的功能表現(xiàn)，樣本的基礎(chǔ)屬性、樣本的實(shí)現(xiàn)功能、樣本的驗(yàn)證功能破解進(jìn)行實(shí)踐。

基本屬性

(分析這些未知的軟件切記得在虛擬機(jī)環(huán)境下進(jìn)行)

啟動(dòng)游戲輔助樣本后，從表面上來看功能確實(shí)很強(qiáng)大，透視、距離、顯血、自瞄這些都是玩家想用游戲輔助的一個(gè)痛點(diǎn)。但這游戲輔助功能都有實(shí)現(xiàn)嗎？有這么強(qiáng)大了嗎？

結(jié)合Exeinfo PE和pchunter工具可以得出樣本基本屬性的結(jié)果。

該樣本是通過易語(yǔ)言(WTWindow類名是易語(yǔ)言特有)進(jìn)行開發(fā)的，從查殼和區(qū)段信息來看，該樣本是沒有做任何保護(hù)的普通樣本。

注冊(cè)碼破解

樣本點(diǎn)擊開啟輔助功能的時(shí)候，提示需要先進(jìn)行獲取注冊(cè)碼，進(jìn)行對(duì)樣本功能激活，才能正常使用樣本的功能。

點(diǎn)擊獲取注冊(cè)碼按鈕，會(huì)彈出掃描支付的對(duì)話框，但是對(duì)話框 是空白的。通過逆向分析得出的結(jié)論是，奈何該樣本開發(fā)作者的服務(wù)器，已經(jīng)過期而且是沒有進(jìn)行備案登記的，所以樣本通過http通訊方式，進(jìn)行向服務(wù)器請(qǐng)求支付的二維碼圖片就請(qǐng)求失敗，所以彈出的支付對(duì)話框就是空白的界面。

對(duì)于要逆向破解程序某功能點(diǎn)時(shí)，主要需要通過強(qiáng)大的ollydbg工具進(jìn)行做動(dòng)態(tài)調(diào)試，其他工具如IDA、procmon、pchunter等主要是作為逆向分析破解的輔助點(diǎn)和參考點(diǎn)。

分析易語(yǔ)言樣本可采用的通用突破點(diǎn)

注冊(cè)碼的破解流程步驟

在ollydbg工具中，通過下系統(tǒng)API函數(shù)也就是彈出對(duì)話的MessageBoxA函數(shù)下int3斷點(diǎn)(F2斷點(diǎn))，接著去點(diǎn)擊獲取的按鈕，以觸發(fā)調(diào)用函數(shù)，這個(gè)時(shí)候ollydbg工具中也會(huì)觸發(fā)int3斷點(diǎn)，在通過在斷點(diǎn)中的堆棧信息上進(jìn)行回溯分析。