前期对天龙八部之伙伴脚本逆向的思路讲解及打dll劫持补丁去除试用！！

支持吾爱汇编论坛，www.xuepojie.com

为某些人准备的，天龙八部系列脚本逆向【整合引导帖】
https://www.52hb.com/thread-12944-1-1.html
(出处: 吾爱汇编论坛)
我去，录完教程一看居然有822M，小菜教程，大鸟飞过、别浪费您的时间。。。。
















大家好，今天给大家带来的是我对伙伴脚本逆向前期研究的思路讲解，我觉得方法很重要大家可以看看。

首先呢，我讲明这次的课程伙伴脚本并没有完全逆向，这次呢，是让大家看看如何逆向伙伴的试用次数限制和时间限制


这次与以往我讲的天龙脚本有很大的区别，区别在哪呢？大家看我操作


我为了我调试  我游戏也已经开启了  FZ也开启了

大家看到那个角色列表里的那个红色钩么？我已经点击了所有就是红色钩了  


那么这个红色钩也就意味一点FZdll已经注入到游戏了  

这次我们用OD怎么办呢？


好吧  看我操作


看看，我是把OD附加的游戏额  


附加后游戏也未掉线    ALT+E  看看我们的模块区   

我们找到一个FZdll
什么样的dll呢？也就是这个TL_6x.dll

OD模块区里也就是这个

Executable modules, 条目 16
基址=06E20000
大小=0012F000 (1241088.)
入口=06EB437B TL_6x.<ModuleEntryPoint>
名称=TL_6x
文件版本=1.2.2.9
路径=C:\Documents and Settings\Administrator\桌面\TLHB_1195\TL_6x.dll
我们双击进去

应该是VB写的FZ吧  

好我们智能搜索一下

我们先不管   运行下游戏看看FZ有什么提示没？

不好意思   虚拟机进入游戏比较卡   稍等下


FZ控制台已经检测到我们注入游戏了


我们HOME呼出FZ

点击下运行日志   

我们首先点击下开始挂机   看看日志显示什么呢？？、
16:50:17 当前服务器时间：2015/7/30 16:45:00
16:50:17 ===购买并<保存卡号>即解除试用限制！===
16:50:17 ===已启动试用模式,30分钟后将自动停止！===
我们找到这3条敏感信息  


那么我们到OD中找找看看有没有呢

我们在OD中找到了


您没有选择任何挂机功能或定时任务！\r\n进入【功能选择】至少添加一个挂机任务！
06E57792   push TL_6x.06EF618C                       已启动试用模式,30分钟后将自动停止！
06E5779F   push TL_6x.06EF61B0                       ===已启动试用模式,30分钟后将自动停止！===
06E577AE   push TL_6x.06EF61DC                       ===购买并<保存卡号>即解除试用限制！===
06E577EB   push TL_6x.06EF6258                       ███【错误】答题初始化失败!
06E577FA   push TL_6x.06EF6278                       ███请彻底关闭游戏,重新加载
06E57878   push TL_6x.06EF62D8                       DATA\Button\stop.png
06E57892   push TL_6x.06EF62F0                       暂停(Ctr+F1)
06E578E0   push TL_6x.06E37CF0                       h0
06E578E9   mov dword ptr ds:[0x6F1ECB0],TL_6x.06EF6  试用已超过10次！如需继续使用请购卡！\r\n如已保存卡号，请重启脚本。
06E578F8   push TL_6x.06EF613C                       ===试用已超过10次！如需继续使用请购卡！===
06E5790C   push TL_6x.06EF6168                       ===如已保存卡号，请重启脚本。===
06E57939   push TL_6x.06EF6204                       ===FZ验证失败！请卸载后重新加载===
06E57946   push TL_6x.06EF6204                       ===FZ验证失败！请卸载后重新加载===
06E57955   push TL_6x.06EF622C                        =====FZ验证失败！请卸载后重新加载=====
06E579F6   push TL_6x.06EF6298                       已暂停！
06E57A0D   push TL_6x.06EF62A4                       ███已暂停挂机
06E57A1C   push TL_6x.06EF62B8                        =====已暂停挂机=====


这些数据    我们进去看看代码吧


看到这些代码没   


06E57750    A1 0C3DF206     mov eax,dword ptr ds:[0x6F23D0C]
06E57755    83F8 02         cmp eax,0x2
06E57758    74 70           je XTL_6x.06E577CA
06E5775A    83F8 01         cmp eax,0x1
06E5775D    0F85 CD010000   jnz TL_6x.06E57930
06E57763    8D45 F0         lea eax,dword ptr ss:[ebp-0x10]
06E57766    C745 F0 3D00000>mov dword ptr ss:[ebp-0x10],0x3D
06E5776D    50              push eax
06E5776E    E8 8DF40000     call TL_6x.06E66C00
06E57773    FF75 F0         push dword ptr ss:[ebp-0x10]
06E57776    8BCB            mov ecx,ebx
06E57778    E8 C3ED0000     call TL_6x.06E66540
06E5777D    84C0            test al,al
06E5777F    0F84 55010000   je TL_6x.06E578DA
06E57785    833D 0C3DF206 0>cmp dword ptr ds:[0x6F23D0C],0x4
06E5778C    0F84 48010000   je TL_6x.06E578DA

关键应该就这这些跳转处了  

我们在第一个跳转处下断点看看


保存下  


我们打开FZ控制台   把FZ的钩去掉取消注入

这样游戏有dll就被卸载了  


我们再次注入看看？？

断点还在呢

我们呼出FZ进行调试看看？

点击开始挂机

跳转断下了


我们跟着看看顺便记录吧



OK   我们进行了一次记录跳转的模拟  



我们来看看


这些记录都在了  我们让我的试用次数过期吧


还有7次  我先暂停下录像  我来全部用掉

好   10次已过了  


看到此提示框没  日志里也不在是以前那个试用提示了

17:05:48 ===如已保存卡号，请重启脚本。===
17:05:48 ===试用已超过10次！如需继续使用请购卡！===
点开始挂机没反应了  

FZ窗口标题也变了   

我们看看这是为什么？？、我们进去OD中看看  

第一个跳转处下断点   

我们点开始挂机看看

断下来了


我们跟一下

复制一下当前dll的基址=1C200000

1C23775D   /0F85 CD010000   jnz TL_6x.1C237930                       ; 还记得没，这个跳转应该是不能跳的额

1C23775D    90              nop                                      ; 还记得没，这个跳转应该是不能跳的额
1C23775E    90              nop
1C23775F    90              nop
1C237760    90              nop
1C237761    90              nop
1C237762    90              nop


1C23777F   /0F84 55010000   je TL_6x.1C2378DA                        ; 这来也跳转了  原来是没跳转的额
1C23777F    90              nop                                      ; 这来也跳转了  原来是没跳转的额
1C237780    90              nop
1C237781    90              nop
1C237782    90              nop
1C237783    90              nop
1C237784    90              nop



1C23778C   /0F84 48010000   je TL_6x.1C2378DA                        ; 这来也跳转了  原来是没跳转的额
1C23778C    90              nop                                      ; 这来也跳转了  原来是没跳转的额
1C23778D    90              nop
1C23778E    90              nop
1C23778F    90              nop
1C237790    90              nop
1C237791    90              nop

我们在看看日志   
17:13:17 ===购买并<保存卡号>即解除试用限制！===
17:13:16 ===已启动试用模式,30分钟后将自动停止！===


有出现此提示了  

哈哈  我们又能够试用了

不知道大家明白没？

那么我来看看   为什么第一个跳转没跳呢？？


1C237758   /74 70           je XTL_6x.1C2377CA
1C237758   /EB 70           jmp XTL_6x.1C2377CA


原来他跳过了所有的提示了  


那么我们把他jmp试试？

我们把所有的修改都取消掉试下


我们到游戏中关掉FZ在开启试试


一直都可以试用了  


那么我没再次取消注入又再注入看看呢？

在第一个跳转处下断点  

我们在来试试   跳转断下来了  

我们jmp掉？

取消断点再次运行

------------------------天龙伙伴挂机日志数据----------------------------------

时间:17:21:34

17:21:30 调试信息:已上坐骑
17:21:26 正在上坐骑
17:21:24 [首次跨图寻路]正在统计地图信息，请稍候...
17:21:24 跨图寻路: [峨嵋山] --ID[0]洛阳
17:21:24 [采集脚本]缺少工具，自动回城购买...
17:21:24 目标地图[6] 无量山, 采集物品 -- 龙血矿
17:21:24 【整理背包】自动整理 <材料栏>
17:21:24 【整理背包】自动整理 <道具栏>
17:21:24 当前服务器时间：2015/7/30 17:16:09
17:21:24 开始执行...[03] 采集脚本
17:20:01 加载角色 [kkkkk来来] 配置文件成功...
17:20:01 调试信息：没有可使用共生的珍兽或已被附体。
17:20:01 调试信息：没有可使用血祭的珍兽或已被附体。
17:20:01 门派默认技能 [貂蝉拜月], ID401
17:20:01 调试信息：Lua初始化已完成！
17:20:01 检测到您的《新天龙八部》永恒经典版客户端
17:20:00 ★★★★★【自动答题】初始化成功★★★★★

-----------------------------------------------------------------------------
哈哈  我们直接就把试用给去掉了

我们来打补丁？

我们找到特征码了  


59 5F 5E 5B 8B E5 5D C3 6A 00 6A 00 6A 00



1C7678D2    59              pop ecx



1C767758   /EB 70           jmp XTL_6x.1C7677CA


我们来打补丁吧  

我比较懒  捡现成的源码来用了





不好意思，刚刚点击结束视频了
我们现在来写补丁吧



代码就这样写的额


.版本 2

NC搜索 (进程ID, 字节集还原 (“5081ECEC000000535657”), 结束地址)
代码 ＝ 结束地址 [2] ＋ 十六到十 (“A8”)
写字节集 (进程ID, 代码, 字节集还原 (“EB70”))



好 我们来测试下
不好意思   我自作多情了，按理来说应该可以的撒   


既然不行我们来打劫持补丁试试？？


;(+++PYG+++)pyg_dll_patcher data file --Format：Patch,OriData,PatchData
1C237758,7470,EB70
-1
https://www.52hb.com
-1
1C200000
Game.exe
6
0
-1

0
3
-1
TL_6x.dll

飘云阁dll劫持数据

补丁dll放哪里呢？

自然是放在我的Game.exe也就是游戏的目录下撒

我们来试试补丁效果

居然不行？我们换个劫持的dll

OK了   
嘿嘿

所以大家遇到winmm.dll这个劫持不来，可以换下msimg32.dll来试试

还有一点注意下

这个宿主名称也就是我们要劫持的目标Game.exe在有些区是game.exe大家视情况而改变吧


方法就是这样了

另外FZ我也不多说了。希望大家深入研究。。。。。


我去，录完教程一看居然有822M，小菜教程，大鸟飞过、别浪费您的时间。。。。

游客，如果您要查看本帖隐藏内容请回复

沙发

你没压缩法录制？

看看吧！！！！！！！！

小菜来过

感谢楼主分享  文件希望别太大了

算了，为了学习，我拼了占内存空间的命也要下下来，这么详细的教程，只是，教程也太大了吧！楼主是拿什么录制的视频啊

哇塞，又出教程了。力挺大神

爱美丽的视频教程是要看的，已评分

看看谢谢分享