吉林文交所脱机协议分析教程
本帖最后由 小Cold 于 2017-3-29 04:13 编辑第一次来这个论坛,简单看了一下,感觉还不错,于是注册了一个账号,无聊之际发个帖子吧~希望对大家有帮助~第一次写图文,写的不好请不要见怪。{:5_188:}PS:因为脱机协议过程复杂,所以主要讲封包加解密算法分析和动态密钥分析!
难度总评:简单
打开软件和WPE并且开始抓包,输入账号:123456,密码:51212348,点击登录后停止抓包,如图所示,可以发现他的账号是明文的,密码和其他信息被算法加密了,以及收包返回的内容也是密文的,封包居然有加解密,看来没有想象那么简单啊,{:6_224:}好了,现在我们打开OD开始干活~{:5_118:}
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
在WS2_32.send处下断,断下后,分析代码来到此处,这里是明文封包结构载入位置,他的封包结构存放位置:DB [+4],现在我们进入加密CALL开始继续分析,进去后发现还有很多CALL,而且这里在做一个循环,但是这些东西都不是很重要,经过分析,我们发现是00529A9D FF51 0C call dword ptr ds: 在进行实际操作,于是我们继续进入这个CALL!
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
我们发现已经来到了模块sysmodul,开始真正的加密要开始了!{:5_121:}
这里封包已经完全构造好了!
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
是不是已经懵逼了?{:5_193:}具体分析看图,这里我简单总结以下他的加解密算法:他是一种可逆加解密算法,也就是说加密是他,解密也是他;算法行为:首先通过IDIV得到当前用于位异或的密钥,然后写入当前封包实现加密完成,这里的IDIV看似“乱序随机加密”加密方式,但是实则固定加密。把这里的代码写出来就OK了,我用易语言写完了,大家可参考一下!
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
刚刚已经说了,他是可逆加密方式,所以解密就不用我说了吧?
关于动态密钥,这里一开始也是难到我了,后面发现他是登录包返回的,所以我们收包处理一下就OK了额,最后他后面的操作都是用的登录返回的那个动态密码去加解密!剩下的大家自己去看了,我睡觉去了。
**** Hidden Message *****
记得评分哦~{:5_193:}有时间给你们发大型端游脱机分析教程和其他PC协议分析教程
大佬很强,,拿走谢谢 大佬很强,,拿走谢谢 楼主牛逼都开始分析协议解密了。。 留下OD,大神,可以么 欢迎加入吾爱汇编论坛,刚来就分享,值得大家学习! 看看学习学习!! 厉害啊。。学习学习。。 楼主好厉害,加油!!!!!!!!! 学习咯,看大神怎么弄。