一个游戏外挂需要网络验证的,现在已用脱壳机脱壳,PIED检查已经没有壳了,OD打开,第一行是
010002AC > 6A 70 push 70 ; (initial cpu selection)
010002AE /EB 02 jmp short 010002B2
010002B0 |CD20 64FF3500 vxdjump 35FF64
010002B6 0000 add byte ptr [eax], al
010002B8 0066 9C add byte ptr [esi-64], ah
接下来F9可以运行软件,并且使用已验证帐号密码可以正常使用软件,我想应该是脱壳成功了吧!
通过分析网络封包,得知验证IP为211.147.225.125,远程端口55555,但是OD里找不到相关数据。。。W32Dasm也查不到。。。(晕)封包自然是看不懂了。。。
——————————————————————————————————————————
00000000 64 00 50 14 C3 F3 18 FD B1 E4 F4 FD AE E7 1D 3E d.P.皿.?变酏.>
00000010 32 E8 0C 00 F7 F1 72 5D 58 66 F3 71 7D 71 DD 36 2?.黢r] Xf髊}q?
00000020 18 EA E8 31 7A 4F FC F3 5D EC 00 FC F8 F2 44 FC .觇1zO ]?駾?
00000030 AE F1 74 FD 36 F1 0C FC 66 F1 3C FD FA F1 F4 00 t???f?lt;耵.
00000040 EA E5 F4 FA F4 EA F4 FB F8 F1 18 FF 20 E5 94 FD 赍酊絷酐 . 鍞?
00000050 46 F1 60 FD FA F1 F4 FD FA EA DC FD F2 F1 CC FD F馺耵?荦蝰听
00000060 FA F1 F8 FD
00000000 90 01 18 60 F3 EC 20 27 39 19 88 D1 01 E8 1C F5 ?.`箪 ' 9.堁.??
00000010 B2 B4 CD C6 D8 B6 A7 E1 D0 A0 F4 7A 05 F1 8D 6B 泊推囟п 袪魖.駦k
00000020 7D 1C 21 FE 12 57 2C 5B C5 32 80 FF 7A 41 74 16 }.!?W,[ ?€zAt.
00000030 ED 3C 00 39 13 60 B3 2E 9E 0E EA 1B 6E 66 30 2E ?lt;.9.`? ??nf0.
00000040 B6 FF 48 77 80 3E CB 36 D0 0C EA 39 63 29 00 4A ?Hw€>? ??c).J
00000050 D8 40 F3 3C B0 68 F6 6D 3B 5C 27 0D 99 44 E9 7C 谸?lt;癶鰉 ;\'.橠閨
00000060 43 E8 F7 53 12 F1 FA 52 B7 77 B1 23 E5 6E 6A 3B C梓S.聱R 穡?錸j;
00000070 19 4A B6 59 67 54 62 32 53 06 D9 4D F2 5B 6D 05 .J禮gTb2 S.費騕m.
00000080 49 35 A9 15 FB 49 7E 39 67 44 BD 60 A2 1B 9F 66 I5?鸌~9 gD絗?焒
00000090 D4 30 37 21 1E 19 07 53 28 21 5A 30 20 31 E8 30 ?7!...S (!Z0 1?
000000A0 A1 53 90 40 20 31 44 6C 56 0C 68 6C 21 0E E9 39 怈 1Dl V.hl!.?
000000B0 79 62 BF 3A 34 5B 32 65 4F 71 92 56 DF 17 69 2A yb?4[2e Oq扸?i*
000000C0 85 0A D7 4D 18 0B 7A 76 CA 36 83 29 09 3B 19 42 ?譓..zv ??.;.B
000000D0 D5 F7 F7 40 2A 02 66 4E 89 19 BA 5D 38 4C D7 71 征鰼*.fN ?篯8L譹
000000E0 D1 08 06 4F F4 2B 37 02 DA 35 5F 61 51 4B 4E 22 ?.O?7. ?_aQKN"
000000F0 62 38 18 73 73 D3 12 D8 92 6E 3C A8 58 36 C8 7A b8.ss??抧<╔6葄
00000100 84 F2 DF 70 C3 49 4D 62 01 1B B0 00 D8 5D AB 39 勻遬肐Mb ..?豜?
00000110 9A 09 7F 38 4C 42 87 4C 02 0A A2 7E D6 0D 51 21 ?8LB嘗 ..?Q!
00000120 9B 03 4B 0E F9 3D CE 27 CF 39 8C 6B DA 21 CD 0F ?K.?? ?宬??
00000130 74 69 B5 32 16 23 43 66 20 4E CD 72 87 49 9F 56 ti?.#Cf N蛂嘔烿
00000140 3A FF 46 5F E9 FA 6A 2C 65 13 D7 37 9E 22 47 0D :F_辁j, e.??quot;G.
00000150 13 52 0B 40 09 63 07 7B BB 23 90 2F A1 23 0B 15 .R.@.c.{ ???..
00000160 2F E8 3D 43 24 FE 1E 23 3E 09 47 30 A3 27 A8 75 /?C$?# >.G0?╱
00000170 F0 5B 7A 33 3D 40 7B 05 39 28 90 5E 91 6E 49 07 餥z3=@{. 9(恀憂I.
00000180 86 6A 7D 0D DE 43 AE 2F 47 1D C5 65 8C FC C1 CD 唈}.轈? G.舉岦镣
———————————————————————————————————————————
这谁看的懂。。。
没办法,OD载入,下断。。N种断都试了没用。。。只有BP SEND 可以断下个。堆栈窗口显示:
0011D6A0 7C1F2DEB /CALL 到 send 来自 mfc70.7C1F2DE5
0011D6A4 000000F8 |Socket = F8
0011D6A8 003EA9D8 |Data = 003EA9D8
0011D6AC 00000064 |DataSize = 64 (100.)
0011D6B0 00000000 \Flags = 0
0011D6B4 004391FE 返回到 _YYWYD.004391FE 来自 <jmp.&mfc70.#5405>
反汇编窗口在这里:
71A2428A > 8BFF mov edi, edi
71A2428C 55 push ebp
71A2428D 8BEC mov ebp, esp
71A2428F 83EC 10 sub esp, 10
71A24292 56 push esi
71A24293 57 push edi
71A24294 33FF xor edi, edi
71A24296 813D 2840A371 4>cmp dword ptr [71A34028], 71A29448
71A242A0 0F84 AD730000 je 71A2B653
71A242A6 8D45 F8 lea eax, dword ptr [ebp-8]
71A242A9 50 push eax
71A242AA E8 12520000 call 71A294C1
71A242AF 3BC7 cmp eax, edi
71A242B1 8945 FC mov dword ptr [ebp-4], eax
71A242B4 0F85 D9730000 jnz 71A2B693
71A242BA FF75 08 push dword ptr [ebp+8]
71A242BD E8 7FE8FFFF call 71A22B41
71A242C2 8BF0 mov esi, eax
71A242C4 3BF7 cmp esi, edi
71A242C6 0F84 C0730000 je 71A2B68C
71A242CC 8B45 10 mov eax, dword ptr [ebp+10]
谁能帮忙分析下接下来到底该怎么办?
[培训]科锐逆向工程师培训第53期2025年7月8日开班!
