破解某某狙击的辅助思路（续）

LingMo

*写帖子前，我想说一句：*为什么`Markdown`**不能上传图片**！！！

新人发帖，大佬勿喷，觉得不错还可以的：
评分不要钱！！！评分不要钱！！！评分不要钱！！！
0x0 发帖起因
因为昨天我在吾爱里发了个破解某某狙击辅助的帖子，于是我在写完帖子并发表后立即打开那个辅助来玩狙击，但没想到游戏出现了一个信息框[游戏中，不允许第三方，游戏6秒自动关闭]。。。于是我就看了下那个辅助的官方群，发现有个可以防检测的工具，于是，就不用我说了吧。

0x1 开始分析
首先打开我们的查壳工具Exeinfope来查查壳子
呦呵，终于想到加壳的重要性了吧，虽然我并不知道.nx是什么壳。
然后打开辅助
？？？？？ WTF什么鬼我打开了OD?我连OD的文件夹都还没打开，你就说我打开了OD?
这个辅助的反调试手段让我很迷呀。
后来刚刚好浏览器卡了，要不是有 定时保存内容 的功能，不然我也不发这个帖了，但我再次打开辅助的时候，又不检测OD了，什么鬼
后来我慢慢分析，才得知，他是通过遍历窗口找关键字来判断OD进程的，而吾爱论坛的网页标题的后面【吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn】这个字符串正是辅助的关键字，好新奇的反调试手段呀，不过没事，我通过浏览器的审查元素修改了吾爱网页的标题：（之后是修改的过程，不想看的可以直接跳过）




1.按下键盘的【F12】或者鼠标右键->审查元素
2.一般设置网页标题的命令是

[Asm] 纯文本查看 复制代码

<title>这里是标题</title>

，而且一般都是在网站源码的上面，所以我们来到源码的上面 ，修改了<title>和</title>中间的内容，我这里修改成了【wuai】，于是我们的网页标题被改成了

之后就可以运行辅助了 ，首先我们看界面，你们觉得这个界面像是什么网络验证呢没错又是易游验证，而且又是单码登录。
接下来就轮到OD上场了，因为是有壳的，所以我们打开OD并附加辅助
（真是个新奇的反调试手段，没有打开OD辅助就说打开了，而现在打开了OD辅助居然没有检测到OD），Ctrl+G搜索401000并点"确认"，右键->中文搜索引擎->智能搜索 嗯~看起来WebApi和程序密钥什么的都被隐藏了，看起来我们的山寨大法将没用了，而且PUSH大法也没用，为什么呢？Ctrl+B搜索 FF 25 发现上面的push没有了。

到此大部分人可能会直接回收站了，不过呢还有一种办法，首先这个辅助不是要通过卡密验证才能使用吗，那么到最后辅助还是要访问易游的数据库来进行卡密对比的，也就是说，他还是会访问网络的。（也就是说，山寨法没有死）
于是，我们使用抓包工具Smsniff（这个工具你们可以去吾爱的爱盘里下载）来对辅助进行抓包。
首先打开Smsniff，然后启动抓包，之后在辅助里点击“登录”，Smsniff成功抓包 注意看！！！ 这个就是单码登录的API，把这个记录下来，然后呢我们在打开易游记录自己的单码登录的API（怎么操作的请看我昨天发的帖子，这里不说了）


然后打开C32Asm（和Smsniff一样，这个工具你们可以去吾爱的爱盘里下载），把辅助拖进去。
之后C32Asm会弹出一个窗口，提示是使用反汇编模式还是十六进制模式，我们选十六进制模式 ，然后Ctrl+F搜索，类型选"ANSI 字符串"，然后输入刚才抓包抓到的API（61c8fd920cb7ebbc），点击"下一个"
，之后删除，这时C32Asm会弹出
，点击"是"即可，然后把我们自己的api复制进去，这时C32Asm会弹出
，点击"是"即可，
。之后Ctrl+S保存。

之后，我们在易游生成一个卡密（具体怎么生成就不说了，去看我之前的帖子），然后在打开辅助

。
破解就这样完成了。



由于是新人，刚学OD一个月，技术并不是很成熟，大佬们请勿喷呀。我就是写这个帖子来总结我这一个月来的学习成果

觉得不错还可以的：
评分不要钱！！！评分不要钱！！！评分不要钱！！！
由于百度账号出了问题，文件就没办法给出了，感谢大家的观看。



原版+破解版下载链接：链接: https://pan.baidu.com/s/1hp3hG3p45Tb-uEHAw6qgmQ  提取码: mxif （解压密码:www.52pojie.cn，失效私信我）

LingMo

zy1127 发表于 2019-3-13 16:03
或者告诉我为何抓不到包，那个辅助我是用一键脱壳脱得，pe查询是c++6，抓包软件网卡选择的那个ip是0.0.0. ...

抓不到包是不是因为https的访问啊

c++6的话应该没壳吧，你发下查壳图看看，最好用ExeinfoPE

IP要选择你上网的IP（不是百度"IP'的那个IP）
或者还有个办法，你把浏览器的代{过}{滤}理设置成127.0.0.1，然后在抓包软件也填写127.0.0.1（端口你可以随便定）

zy1127

LingMo 发表于 2019-3-23 08:38
抓不到包是不是因为https的访问啊

c++6的话应该没壳吧，你发下查壳图看看，最好用ExeinfoPE

关于枪火游侠辅助（游侠月影辅助）的破解问题
https://www.52pojie.cn/thread-898308-1-1.html
(出处: 吾爱破解论坛)
这是帖子链接 有脱壳信息  大佬可以考虑出个教程 这个验证有挺多辅z用的

hanwenhua800

感谢大佬分析

LingMo

可能很多人会说为什么突然要用C32Asm呀，投机取巧。
不知道为什么，OD不能跟进数据，而我试下用C32Asm来搜索api的时候，发现可以搜索，于是就用C32Asm了

成都

感谢大佬

WMEEMW1

dalao ,6666

又红又专

我裤子都脱了你给我说这个？

Raohz520

为啥不去爆破

byh3025

ennnn我能说那个nx是难寻大神写的验证吗？你为什么不把原程序发出来呢？

水蛙族的巨星

不不不  评分要钱~~~~~~

千年杀007

大神 没事用用试试看效果好不好