手游-放开那三国socket协议分析

a4727603

楼主本就是一个偷懒的人，玩游戏最什么的最讨厌了还要一遍遍的刷副本，于是就有了这个破解的过程
刷副本太累，想写个脱机挂自动打副本，背景交代完毕
开始执行：
APK下载地址http://static1.zuiyouxi.com/client/fknsg_zyx_4.2.8_gwphone_1502101503.apk

1、

这是抓包得到的数据0000   00 00 00 67 01 00 01 01 62 16 36 bd a3 96 dd 8e  ...g....b.6.....
0010   58 48 c9 7f 84 c5 21 ff 0a 0b 01 0d 6d 65 74 68  XH....!.....meth
0020   6f 64 06 25 75 73 65 72 2e 67 65 74 53 77 69 74  od.%user.getSwit
0030   63 68 49 6e 66 6f 11 63 61 6c 6c 62 61 63 6b 0a  chInfo.callback.
0040   0b 01 19 63 61 6c 6c 62 61 63 6b 4e 61 6d 65 06  ...callbackName.
0050   25 75 73 65 72 2e 67 65 74 53 77 69 74 63 68 49  %user.getSwitchI
0060   6e 66 6f 01 0b 74 6f 6b 65 6e 06 15 33 30 30 34  nfo..token..3004
0070   39 37 36 32 30 30 09 61 72 67 73 09 01 01 01     976200.args....
对比了几个数据包之后很明显的可以发现 最前面的67代表的是包长，而62 16 36 bd a3 96 dd 8e  58 48 c9 7f 84 c5 21 ff 就是整串数据的神秘所在了，起码完全不知道是怎么来的，也看不出来什么加密
后来数了下位数，神奇的发现是32位，而且每个包的这几位都是32位，于是我就大胆猜测这是MD5加密

2.IDA分析apk     

最后定位到这个so里面 打开分析下
找到MD5加密函数所在




3.找到地址了，然后再用ida动态调试轻车熟路 配置好

打开 ida 调试

再来寻找我们需要下的断点

计算一下：62A67000(so起始位置)+001D4ED8（方法位置）=62C3BED8
跳转
  
下断点，回游戏随便干点事
成功，竟然真的断了下来

哈哈哈


4.下一步 继续分析


可以看到MD5前的数据是这样的 对应的数据包

写个程序测试下是否正确（最后发现真的就是这个）这里6D个长度的数据 md5的结果就是抓包中得到的15 0a 26 7e 9a 41 dd 89 41 2a c0 bd 4f 58 fa 5c 看来定位正确，可是这个6D长度的东西又是怎么来的？？？？？


5.回到静态分析，看下都是谁调了md5
最后定位到这个方法：PackageHandler::buildPackag

很清晰的看到了有一个 sub_5FAA90(&v26, "4bd4ace59");
肯定就是我们想要的东西了，然后看下这里到底干了点什么
结合动态调试发现关键点在这
  for ( k = 0; s > k; ++k )
  {
    if ( s - 1 == k )
      v9 = *(_BYTE *)(v19 + k) ^ s;
    else
      v9 = *(_BYTE *)(v19 + k) ^ *(_BYTE *)(v19 + k + 1);
    sub_5FAAE0(&v26, v9);
  }

这几句什么意思？无非就是a[1]^a[2]  我们再来看下
原始数据     0a 0b 01 0d xxxxxxxxx
运算后数据  01 0a 0c xxxxxxx
是不是就是0a^0b 至此大功告成
整个加密解析过程完毕

红频

a4727603 发表于 2015-4-30 14:50
太悲惨了 人气不佳，看来玩这游戏的实在少

好帖子  很不错

zs0001999

自动刷副本的？

shadow125

厉害 厉害

z6810753

牛逼   支持一下~

z6810753

排版有点乱啊

Hmily

我帮你编辑了下主题，把图片换了行，这下好看一些了，过程要是再详细点就更好了。

876704221

对于小白来时理解起来很吃力。看来还有很多需要学习的

wangxd

看不懂，大大饿了咯咯你

莽莽的茫茫

楼主好屌

a4727603

太悲惨了 人气不佳，看来玩这游戏的实在少