前期对天龙八部之伙伴脚本破解的思路讲解及打dll劫持补丁去除试用!!
支持吾爱汇编论坛,www.xuepojie.com为某些人准备的,天龙八部系列脚本逆向【整合引导帖】
https://www.52hb.com/thread-12944-1-1.html
(出处: 吾爱汇编论坛)
我去,录完教程一看居然有822M,小菜教程,大鸟飞过、别浪费您的时间。。。。
大家好,今天给大家带来的是我对伙伴脚本逆向前期研究的思路讲解,我觉得方法很重要大家可以看看。
首先呢,我讲明这次的课程伙伴脚本并没有完全逆向,这次呢,是让大家看看如何逆向伙伴的试用次数限制和时间限制
这次与以往我讲的天龙脚本有很大的区别,区别在哪呢?大家看我操作
我为了我调试我游戏也已经开启了FZ也开启了
大家看到那个角色列表里的那个红色钩么?我已经点击了所有就是红色钩了
那么这个红色钩也就意味一点FZdll已经注入到游戏了
这次我们用OD怎么办呢?
好吧看我操作
看看,我是把OD附加的游戏额
附加后游戏也未掉线 ALT+E看看我们的模块区
我们找到一个FZdll
什么样的dll呢?也就是这个TL_6x.dll
OD模块区里也就是这个
Executable modules, 条目 16
基址=06E20000
大小=0012F000 (1241088.)
入口=06EB437B TL_6x.<ModuleEntryPoint>
名称=TL_6x
文件版本=1.2.2.9
路径=C:\Documents and Settings\Administrator\桌面\TLHB_1195\TL_6x.dll
我们双击进去
应该是VB写的FZ吧
好我们智能搜索一下
我们先不管 运行下游戏看看FZ有什么提示没?
不好意思 虚拟机进入游戏比较卡 稍等下
FZ控制台已经检测到我们注入游戏了
我们HOME呼出FZ
点击下运行日志
我们首先点击下开始挂机 看看日志显示什么呢??、
16:50:17 当前服务器时间:2015/7/30 16:45:00
16:50:17 ===购买并<保存卡号>即解除试用限制!===
16:50:17 ===已启动试用模式,30分钟后将自动停止!===
我们找到这3条敏感信息
那么我们到OD中找找看看有没有呢
我们在OD中找到了
您没有选择任何挂机功能或定时任务!\r\n进入【功能选择】至少添加一个挂机任务!
06E57792 push TL_6x.06EF618C 已启动试用模式,30分钟后将自动停止!
06E5779F push TL_6x.06EF61B0 ===已启动试用模式,30分钟后将自动停止!===
06E577AE push TL_6x.06EF61DC ===购买并<保存卡号>即解除试用限制!===
06E577EB push TL_6x.06EF6258 ███【错误】答题初始化失败!
06E577FA push TL_6x.06EF6278 ███请彻底关闭游戏,重新加载
06E57878 push TL_6x.06EF62D8 DATA\Button\stop.png
06E57892 push TL_6x.06EF62F0 暂停(Ctr+F1)
06E578E0 push TL_6x.06E37CF0 h0
06E578E9 mov dword ptr ds:,TL_6x.06EF6试用已超过10次!如需继续使用请购卡!\r\n如已保存卡号,请重启脚本。
06E578F8 push TL_6x.06EF613C ===试用已超过10次!如需继续使用请购卡!===
06E5790C push TL_6x.06EF6168 ===如已保存卡号,请重启脚本。===
06E57939 push TL_6x.06EF6204 ===FZ验证失败!请卸载后重新加载===
06E57946 push TL_6x.06EF6204 ===FZ验证失败!请卸载后重新加载===
06E57955 push TL_6x.06EF622C =====FZ验证失败!请卸载后重新加载=====
06E579F6 push TL_6x.06EF6298 已暂停!
06E57A0D push TL_6x.06EF62A4 ███已暂停挂机
06E57A1C push TL_6x.06EF62B8 =====已暂停挂机=====
这些数据 我们进去看看代码吧
看到这些代码没
06E57750 A1 0C3DF206 mov eax,dword ptr ds:
06E57755 83F8 02 cmp eax,0x2
06E57758 74 70 je XTL_6x.06E577CA
06E5775A 83F8 01 cmp eax,0x1
06E5775D 0F85 CD010000 jnz TL_6x.06E57930
06E57763 8D45 F0 lea eax,dword ptr ss:
06E57766 C745 F0 3D00000>mov dword ptr ss:,0x3D
06E5776D 50 push eax
06E5776E E8 8DF40000 call TL_6x.06E66C00
06E57773 FF75 F0 push dword ptr ss:
06E57776 8BCB mov ecx,ebx
06E57778 E8 C3ED0000 call TL_6x.06E66540
06E5777D 84C0 test al,al
06E5777F 0F84 55010000 je TL_6x.06E578DA
06E57785 833D 0C3DF206 0>cmp dword ptr ds:,0x4
06E5778C 0F84 48010000 je TL_6x.06E578DA
关键应该就这这些跳转处了
我们在第一个跳转处下断点看看
保存下
我们打开FZ控制台 把FZ的钩去掉取消注入
这样游戏有dll就被卸载了
我们再次注入看看??
断点还在呢
我们呼出FZ进行调试看看?
点击开始挂机
跳转断下了
我们跟着看看顺便记录吧
OK 我们进行了一次记录跳转的模拟
我们来看看
这些记录都在了我们让我的试用次数过期吧
还有7次我先暂停下录像我来全部用掉
好 10次已过了
看到此提示框没日志里也不在是以前那个试用提示了
17:05:48 ===如已保存卡号,请重启脚本。===
17:05:48 ===试用已超过10次!如需继续使用请购卡!===
点开始挂机没反应了
FZ窗口标题也变了
我们看看这是为什么??、我们进去OD中看看
第一个跳转处下断点
我们点开始挂机看看
断下来了
我们跟一下
复制一下当前dll的基址=1C200000
1C23775D /0F85 CD010000 jnz TL_6x.1C237930 ; 还记得没,这个跳转应该是不能跳的额
1C23775D 90 nop ; 还记得没,这个跳转应该是不能跳的额
1C23775E 90 nop
1C23775F 90 nop
1C237760 90 nop
1C237761 90 nop
1C237762 90 nop
1C23777F /0F84 55010000 je TL_6x.1C2378DA ; 这来也跳转了原来是没跳转的额
1C23777F 90 nop ; 这来也跳转了原来是没跳转的额
1C237780 90 nop
1C237781 90 nop
1C237782 90 nop
1C237783 90 nop
1C237784 90 nop
1C23778C /0F84 48010000 je TL_6x.1C2378DA ; 这来也跳转了原来是没跳转的额
1C23778C 90 nop ; 这来也跳转了原来是没跳转的额
1C23778D 90 nop
1C23778E 90 nop
1C23778F 90 nop
1C237790 90 nop
1C237791 90 nop
我们在看看日志
17:13:17 ===购买并<保存卡号>即解除试用限制!===
17:13:16 ===已启动试用模式,30分钟后将自动停止!===
有出现此提示了
哈哈我们又能够试用了
不知道大家明白没?
那么我来看看 为什么第一个跳转没跳呢??
1C237758 /74 70 je XTL_6x.1C2377CA
1C237758 /EB 70 jmp XTL_6x.1C2377CA
原来他跳过了所有的提示了
那么我们把他jmp试试?
我们把所有的修改都取消掉试下
我们到游戏中关掉FZ在开启试试
一直都可以试用了
那么我没再次取消注入又再注入看看呢?
在第一个跳转处下断点
我们在来试试 跳转断下来了
我们jmp掉?
取消断点再次运行
------------------------天龙伙伴挂机日志数据----------------------------------
时间:17:21:34
17:21:30 调试信息:已上坐骑
17:21:26 正在上坐骑
17:21:24 [首次跨图寻路]正在统计地图信息,请稍候...
17:21:24 跨图寻路: [峨嵋山] --ID洛阳
17:21:24 [采集脚本]缺少工具,自动回城购买...
17:21:24 目标地图 无量山, 采集物品 -- 龙血矿
17:21:24 【整理背包】自动整理 <材料栏>
17:21:24 【整理背包】自动整理 <道具栏>
17:21:24 当前服务器时间:2015/7/30 17:16:09
17:21:24 开始执行... 采集脚本
17:20:01 加载角色 配置文件成功...
17:20:01 调试信息:没有可使用共生的珍兽或已被附体。
17:20:01 调试信息:没有可使用血祭的珍兽或已被附体。
17:20:01 门派默认技能 [貂蝉拜月], ID401
17:20:01 调试信息:Lua初始化已完成!
17:20:01 检测到您的《新天龙八部》永恒经典版客户端
17:20:00 ★★★★★【自动答题】初始化成功★★★★★
-----------------------------------------------------------------------------
哈哈我们直接就把试用给去掉了
我们来打补丁?
我们找到特征码了
59 5F 5E 5B 8B E5 5D C3 6A 00 6A 00 6A 00
1C7678D2 59 pop ecx
1C767758 /EB 70 jmp XTL_6x.1C7677CA
我们来打补丁吧
我比较懒捡现成的源码来用了
不好意思,刚刚点击结束视频了
我们现在来写补丁吧
代码就这样写的额
.版本 2
NC搜索 (进程ID, 字节集还原 (“5081ECEC000000535657”), 结束地址)
代码 = 结束地址 + 十六到十 (“A8”)
写字节集 (进程ID, 代码, 字节集还原 (“EB70”))
好 我们来测试下
不好意思 我自作多情了,按理来说应该可以的撒
既然不行我们来打劫持补丁试试??
;(+++PYG+++)pyg_dll_patcher data file --Format:Patch,OriData,PatchData
1C237758,7470,EB70
-1
https://www.52hb.com
-1
1C200000
Game.exe
6
0
-1
0
3
-1
TL_6x.dll
飘云阁dll劫持数据
补丁dll放哪里呢?
自然是放在我的Game.exe也就是游戏的目录下撒
我们来试试补丁效果
居然不行?我们换个劫持的dll
OK了
嘿嘿
所以大家遇到winmm.dll这个劫持不来,可以换下msimg32.dll来试试
还有一点注意下
这个宿主名称也就是我们要劫持的目标Game.exe在有些区是game.exe大家视情况而改变吧
方法就是这样了
另外FZ我也不多说了。希望大家深入研究。。。。。
我去,录完教程一看居然有822M,小菜教程,大鸟飞过、别浪费您的时间。。。。
**** Hidden Message *****
{:5_188:}沙发 你没压缩法录制? 看看吧!!!!!!!! 小菜来过 感谢楼主分享文件希望别太大了{:5_121:} 算了,为了学习,我拼了占内存空间的命也要下下来,这么详细的教程,只是,教程也太大了吧!{:5_191:}楼主是拿什么录制的视频啊{:5_126:} 哇塞,又出教程了。力挺大神 爱美丽的视频教程是要看的,已评分 看看谢谢分享