VB从零开始编外挂(十)

前天晚上我跟封包玩了一晚上，因才开始（第一次跟封包）说一下我一晚上的发现吧
我是直接用WPE截取的，因为金山游戏本身都有截取封包的保护措施（就像MM所说），直接用WPE截取我是截取不到的，后来用Ollydbg调试的时候才截取的到。
经过前面的准备，封报的明文准备已经OK，准备进行加密，加密方式是取一个4字节的数字，对封包进行Xor运算，运算完毕后就直接发送出去，我核对过用WPE截取封包的数据，和我看到的运算结果完全一致，这说明只要用那个4字节的数字对封包进行反Xor运算就可以得到明文的封包。
其实说白了那个4字节的数字就是每次加密的密匙，也就是服务器认可的，这个4字节怎么得出的我就没跟了，暂时只发现只要不更换场景，4字节密匙不会更变。
相同道理，服务返回的信息也是经过4字节Xor运算处理了的，客户端解密时候取服务端4字节密匙对封包进行解密就可以得到明文封包。
大体说下封神封包加密解密流程
Send:
1，制造明文封包
2，取4字节Send密匙
3，用4字节密匙对封包进行Xor运算（保留前2位）,最后不足4字节进行单字节运算。
4，发送。
Revc:
1，收到封包
2，取4字节Revc密匙
3，用4字节密匙对封包进行Xor运算（保留前2位）,最后不足4字节进行单字节运算。
4，对明文封包进行分析

--------------------------------------------------------------------------------------------------------------------------------------------------------

以上的方法比较累人！下面说说本地制作吧（既是用大家熟悉的FPE等软件）
制作辅助外挂（自动加血，自动加蓝，免负重等等）
HP的地址是不固定的，我使用金山游侠先找出当前的那个地址，
然后使用softice对该地址设置断点，softice应该会立刻断住，
你会看见MOVDWORDPTRDS:[EAX ECX*8 EB4],EDI，
在客户端中，位置是0x4B2C74，
你可以修改游戏的进程，
把MOVDWORDPTRDS:[EAX ECX*8 EB4],
EDI改成一个E9XXXXXXXX9090，
JMP到进程中.rsrc和.data之间的空余地址，
把(XXXXXXXX) 0x4B2C74 5处的代码修改成MOVY,EDI，
下一条做原来的MOVDWORDPTRDS：[EAX ECX*8 EB4],EDI，
再来个E9ZZZZZZZZ，
设置好ZZZZZZZZ使其再跳到原来DWORDPTRDS:[EAX ECX*8 EB4],
EDI的下一句，就是0x4B2C7B处，
这样HP的地址就固定下来了，只要看Y就知道HP了。

--------------------------------------------------------------------------------------------------------------------------------------------------------

下面说说客服端的破解（小试牛刀！）有兴趣的朋友可以制作一个DLL
来实现加血锁定血量！
.text:004E8EF0sub_4E8EF0procnear
.text:004E8EF0
.text:004E8EF0arg_0=dwordptr4
.text:004E8EF0arg_4=dwordptr8
.text:004E8EF0arg_8=dwordptr0Ch
.text:004E8EF0
.text:004E8EF0movecx,[esp arg_0];可能是长度LEN地址
.text:004E8EF4pushebx
.text:004E8EF5moveax,[esp 4 arg_4];缓存地址
.text:004E8EF9pushesi
.text:004E8EFAmovesi,ecx
.text:004E8EFCpushedi
.text:004E8EFDmovedi,[esp 0Ch arg_8];加密KEY地址
.text:004E8F01andesi,3;相当于缓存长度除以4的余数
.text:004E8F04shrecx,2;相当于缓存长度除以4的商
.text:004E8F07movedx,[edi]；把加密KEY值放进edx
.text:004E8F09movebx,ecx；
.text:004E8F0Bdececx；
.text:004E8F0Ctestebx,ebx；
.text:004E8F0Ejbeshortloc_4E8F1E；判断跳转
.text:004E8F10incecx；
.text:004E8F11
.text:004E8F11loc_4E8F11:
.text:004E8F11movebx,[eax]
.text:004E8F13addeax,4
.text:004E8F16xorebx,edx；异或运算，EDX=KEY的值，核心运算
.text:004E8F18dececx
.text:004E8F19mov[eax-4],ebx
.text:004E8F1Cjnzshortloc_4E8F11；相当于FOR循环运算
.text:004E8F1E
.text:004E8F1Eloc_4E8F1E:
.text:004E8F1Emovecx,esi
.text:004E8F20decesi
.text:004E8F21testecx,ecx
.text:004E8F23jbeshortloc_4E8F35
.text:004E8F25leaecx,[esi 1]
.text:004E8F28
.text:004E8F28loc_4E8F28:
.text:004E8F28movbl,[eax]
.text:004E8F2Axorbl,dl；异或运算
.text:004E8F2Cmov[eax],bl
.text:004E8F2Einceax
.text:004E8F2Fshredx,8
.text:004E8F32dececx
.text:004E8F33jnzshortloc_4E8F28；相当于FOR循环运算
.text:004E8F35
.text:004E8F35loc_4E8F35:KEY付值运算；
.text:004E8F35moveax,[edi]
.text:004E8F37movedx,eax
.text:004E8F39shledx,5
.text:004E8F3Csubedx,eax
.text:004E8F3Emoveax,1
.text:004E8F43addedx,8088405h
.text:004E8F49mov[edi],edxKEY付值
.text:004E8F4Bpopedi
.text:004E8F4Cpopesi
.text:004E8F4Dpopebx
.text:004E8F4Eretn
.text:004E8F4Esub_4E8EF0endp

--------------------------------------------------------------------------------------------------------------------------------------------------------

今天就到这里