吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 22324|回复: 99
收起左侧

[原创] 小白学习笔记(四)荒野行动某辅助爆破 - 详细教程

  [复制链接]
CrazyNut 发表于 2018-5-25 01:31
本帖最后由 CrazyNut 于 2018-5-25 13:49 编辑

前言:
这次辅助的爆破遇到了很多没有遇到过的问题,在大佬耐心指导一下午后才解决了{:301_999:}

做一下笔记,感谢耐心指导的大佬们!!

爆破网络验证:
这次网络验证爆破这里就缩略的说下过程 = = 因为重点是后面


11.png

查壳 - 没壳 = = 嘿嘿 似乎又是一个软柿子等我捏 ==

直接载入OD跑起来,然后查字符串,结果是什么都没查到 = =


那就打开E-dbg直接查登陆事件好了

22.png


看到了登陆按钮的事件地址是 00401559   

回到OD  ctrl+g 跳转到 00401159
33.png

段首下断,点一下登陆,被断在段首,然后F8单步找关键跳
44.png
找到这三个判断的关键跳,直接NOP

55.png
做好笔记,跑起来看看,


66.png
77.png
哈哈?成了?





因为提示了先运行游戏以后,辅助自己退出了,我准备重载一下,进去修改并保存
结果是
88.png
奇怪 怎么就不能定位了,找不到了 = =
我只好重新拖进去再运行,运行起来后,按OD上面的E居然发现

99.png

#黑人问号脸  ?? 这路径怎么飞到这种奇怪的地方去了,我明明放在桌面的??

我当然是去打开这个路径看看
100.png
发现是个这个东西  0.0  本来还没想到怎么回事= =大佬叫我查壳下,

101.png
果然是个exe,改后缀

110.png
OK 看来是他把主体释放到了这里运行,就是说刚刚重载怎么就找不到了

120.png


然后发现他是每次运行,就会随机生成一个数字的文件夹,

并且把辅助释放在里面!说明我之前
登陆验证
那里的修改是没问题的

那我就直接把他改了后缀的东西拿出来用


然后蛋痛的事情又来了
我直接用他改了后缀的东西,发现会
删除自己,并且同样的释放一个文件到随机数字文件夹并运行
所以我在OD里面做了修改,右键保存的时候是
133.png

不能保存,开始我还不知道怎么回事
然后我尝试打补丁的时候,根本补丁根本检测不到辅助运行了
现在我才有点明白辅助是怎么运行的



分析一下辅助的运行流程

运行辅助A→创建随机文件夹→再释放一个辅助B到随机文件夹并运行→删除辅助A

带来的影响

1.这一些列的操作,导致我无法打补丁
2.虽然我知道登陆验证应该NOP掉哪些跳转了,可以在辅助没运行起来之前,直接过去修改然后保存
   但是蛋痛的是,每次运行,辅助就会把自己删了,下次登陆要复制一个进去,很蛋痛。

要做的事

当然就是想办法去把删除自己的地方干掉!



现在开始干删除自己地方,这次学习的重点了0.0



首先载入OD,不运行,自动暂停在入口。


144.png


既然有删除文件的操作,我就准备下删除文件的API断点
233.png

结果是什么都没断下来,我就奇怪了,只有单步慢慢的看 了


之前不知道怎么没断下来!这后面试了下可以断下来的= =
1.png
【记住这张图B后面有用】
可以看到是从call 004013c7调用的  【正解】


弯路演示:
重新载入OD后, 单步F8慢慢的走!!  当运行到一个CALL发现 辅助被删除 的时候,

就重新复制一个进去,重新载入,运行到刚刚辅助被删除的CALL F7 单步步入进入到 里面CALL 继续单步F8 !!

一直重复 【至少我是这样的,大佬如果有更好方法一定要给我说QAQ】

这样做是为了找到最后真正删除自己文件的那个CALL


重复的过程就不截图了




慢慢的看我找到了 一个call  里面包含了下面的这个流程


创建随机文件夹→再释放一个辅助B到随机文件夹并运行→删除辅助A

最后找到删除辅助一系列操作的call 004013c7在下图

244.png
【记住这张图A后面有用】

继续看
199.png
这个地方,大佬告诉我是调用的dll里面的动态API,
MoveFileA,也就是删除文件的API存在了API里面;

继续单步,最后终于看到了删除,的地方!!
222.png
【记住这张图B后面有用】

弯路演示完毕


我们回到图A的Call  004013c7 过去retn掉就可以!


我们ctrl +b 找00 00 00 00  多少个0都可以,找一段空代码


255.png
随便找一个地址写个 retn 0x8 call地址改到你修改的地方 !!


重要 !!!!

我直接写一个retn,软件运行起来会提示堆栈错误!!

266.png

这样


为什么是  retn 0x8  【今天大佬给我讲了好久这个】

两种方法判断

1.看图A



这个CALL上面有两个PUSH两说明他有两个参数

会压进两个Dword到堆栈 , 两个Dword = 8Bytes

所以应该是 retn 0x8

1.看图B


这是最后删除文件的命令,看到最后的retn 0x8没


所以call的段尾是什么,你要retn掉call,后面的参数就必须一致




重要!!
有人可能要问,何必找一个空地址来retn?
直接进到call里面retn不就好了


11.jpg




这个地方是易语言的调用API的共用函数,与vb类似,基本上所有的api调用都要用那个函数实现。所以那里无法段首ret

因为有很多地方都会调用,如上面说的,如果你retn的参数不一致,就会堆栈错误,

所以我们不能修改这个call里面!!!



接着说修改

随便找一个地址写个 retn 0x8
277.png

比如我改的是004a4863 倒回去改图A的call
288.png
这里就算改好删除自己的地方了!!!!



然后我们运行起来,没报错,而且自身也没被删掉
299.png
按照文章开始的地方,修改掉网络验证的关键跳!!!
右键保存!!因为辅助没被删掉,所以可以保存了 !!


300.png
完工!!


原版和破解版都在里面:链接: https://share.weiyun.com/5t2WyBU (密码:saOk)

再次感谢耐心指导我的大佬们


如果帖子有帮助到你,希望给个免费评分多多支持下!!谢谢各位!!

免费评分

参与人数 44威望 +1 吾爱币 +56 热心值 +42 收起 理由
花落灬终会开 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Tamry + 1 + 1 大佬可以私发给我么,有惊喜 10349555@qq.com
Xplay + 1 谢谢@Thanks!
朱大屁 + 1 + 1 我很赞同!
daoziduxia + 1 用心讨论,共获提升!
小熊快回来 + 1 + 1 用心讨论,共获提升!
waktqyb + 1 + 1 按照顺序来一下
chensi2355 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
整合骑士 + 1 + 1 用心讨论,共获提升!
8ASAS + 1 + 1 谢谢@Thanks!
oncemore996 + 1 + 1 用心讨论,共获提升!
lw7745 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
拾梦 + 1 + 1 热心回复!
老张有大梦想 + 1 + 1 还望更新,大佬 谢谢,知道你辛苦了~~~!!感谢~~!
khtynidx + 2 + 1 谢谢@Thanks!
t00ls丶 + 1 + 1 谢谢@Thanks!
hanq + 1 + 1 谢谢@Thanks!
氵丶尛灬宝彡 + 1 + 1 很有营业的技术贴!
jj0224 + 1 + 1 我很赞同!
608岁的老头 + 1 我很赞同!
angelopeng + 1 + 1 偶然点进来 佩服你的学习精神!
nanmobei + 1 + 1 我很赞同!
jaffa + 1 + 1 谢谢@Thanks!
WYWZ + 1 + 1 用心讨论,共获提升!
xinkui + 1 + 1 谢谢@Thanks!
Dicker + 2 + 1 用心讨论,共获提升!
hhjjqq110 + 1 + 1 用心讨论,共获提升!
maloneshaw + 1 + 1 谢谢@Thanks!
默笙哥哥 + 1 + 1 谢谢@Thanks!
Hmily + 1 + 10 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
苏紫方璇 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
sxg821 + 1 + 1 热心回复!
Baslilon + 1 + 1 我很赞同!
吾是小白 + 1 + 1 我来当小白鼠 测试一下
a2601487 + 1 + 1 用心讨论,共获提升!
w5645060 + 1 + 1 用心讨论,共获提升!
SKnight + 1 + 1 用心讨论,共获提升!
╰Tang + 2 + 1 用心讨论,共获提升!
Fcous-lq + 1 + 1 热心回复!
zgywqm + 1 + 1 热心回复!
suoyt + 1 + 1 热心回复!
小supper奇 + 1 + 1 谢谢@Thanks!
jm3720343 + 1 鼓励转贴优秀软件安全工具和文档!
云在天 + 3 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

头像被屏蔽
w5645060 发表于 2018-5-25 10:26
提示: 作者被禁止或删除 内容自动屏蔽
 楼主| CrazyNut 发表于 2018-5-25 10:38
w5645060 发表于 2018-5-25 10:26
楼主这句话是不是有问题呀,通常来说,函数的参数个数是一定的(当然,也有些可变,不过估计这个不会变) ...

下API断点回溯不行 QAQ  API是已经运行到call里面再动态调用的,所以没办法下断点

段首retn 0x8,我自己试了,刚刚跑起来的时候不会报错,后面点击登录的时候就堆栈溢出了【不知道我是不是解释错了】

我没注意到是复制的还是释放的,我再去看看


获取路径的方法我找到了在源程序里面,获取自身的路径,运行新辅助后,检测到新辅助运行,结束并删除自身0.0?

点评

亲测断api回溯可行  详情 回复 发表于 2018-5-25 13:29
程序我没看,你想retn的地方貌似是易语言调用系统api的共用函数,所以参数不固定。  详情 回复 发表于 2018-5-25 13:18
阳光小火箭 发表于 2018-5-25 02:49
学习了,虽然现在看的很吃力,但是希望自已能跟着大佬们一点点进步
梦他梦她 发表于 2018-5-25 05:26
不错真的很厉害
灰太狼大王 发表于 2018-5-25 06:08
学习,永无止境
heisexiaobai 发表于 2018-5-25 06:50
厉害,学习学习
Days0708 发表于 2018-5-25 07:45
感谢楼主的分享
请叫我小帅 发表于 2018-5-25 08:01
我想知道这辅助的官网在哪
kvcyril 发表于 2018-5-25 08:11
感谢分享
头像被屏蔽
Fcous-lq 发表于 2018-5-25 08:17
提示: 作者被禁止或删除 内容自动屏蔽
neversayno 发表于 2018-5-25 08:53
寻不到游戏窗口。。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 03:13

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表