反编译挖掘吃鸡(绝地求生)辅助外挂的老窝-终于明白' blog|关注信息安全
欢迎光临
一直在努力

反编译挖掘吃鸡(绝地求生)辅助外挂的老窝



*本文原创作者:野狗,本文属FreeBuf原创奖励计划,未经许可禁止转载

绝对求生感觉最近一直很火,当然作为一个程序员来说我是不怎么喜欢玩游戏的,特别是这种烧配置的游戏。最关键还是没钱。绝对求生的各种辅助(外挂)遍地横生,也听说卖外挂月收入几万、几十万,也有很多人在问我要不要写个外挂然后卖赚点钱。

timg (5).jpg

对于这些我还是一口否决了(呢嘛我就一个web开发的程序员不懂0day不懂游戏不懂cs开发呢吗叫我怎么写,在这堆不懂程序的人面前不能说自己不会,因为他们觉得程序员就是万能的)

正题:

朋友在卖外挂(跟我没关系我没同流合污)虽然我不喜欢但是也不反感,他让我看看能不能写个外挂就给我发了一个外挂。

压缩包打开就exe一个,喵了两眼就知道是“易语言”写的,对于这种奇葩语言写的我还是十分的敬仰,直接拖到记事本打开,居然也没加壳。

QQ截图20180104132636.jpg

其实我想就用记事本就搞定的,但是想想还是装装逼用一些工具来展示一下真正的技术了

工具:

1.Wireshark 抓包

2.Ollydbg 反编译工具

3.360安全卫士 …….(很多人都鄙视360但是我还是把他当工具使用)

运行程序把基础的功能都看了下,直接注册了个账户。

QQ截图20180104133137.jpg

这种界面感觉十个外挂有九个都是这样。

注册了无法登陆提示已到期(就是没充值)

首先用第一个工具360安全卫士里面的网络管理工具

QQ截图20180104133351.jpg

这样就可以拿到服务器IP了 几个功能都测试了 找到了三个IP地址

有人肯定会问为什么不用命令查看非要用360这些工具查看,主要是我不喜欢装逼,我觉得过程不care最重要的是自己方便

扫了服务器端口也就21,80,443,3389,3306 没啥意义

现在开始来抓包看看数据 打开 Wireshark 选择网卡 为了简单方便直接先过滤了IP地址

ip.addr == 外挂服务器IP

先抓了登陆的数据 开始也就提交数据https请求 也看不到数据加密了的

那么幸运即将到来 那么幸运即将到来 那么幸运即将到来

QQ截图20180104134228.jpg

有个FTP,我确认了三次确认我没有看错 是的就是他的服务器就是他的ftp 账号密码都有。

果断连接测试,通过的,而且上传、下载、删除权限全有,里面都是一些授权的文件,应该是用户名+密码生成一个txt里面就是授权码之类的。

登陆成功就获取 ftp密码  加密(用户名+密码).txt 的文件做验证,对于这种行为我只想给开发者点个赞 FTP账号密码写死在程序里,也不怕反编译,试试3389 ,侥幸心理。

administrator 和FTP密码,呢嘛直接进服务器了,这是有多随意 FTP密码随便写,服务器密码和FTP密码一样,感觉就是一个寻宝游戏一样,所有的宝藏都是留给善于发现的人的。

服务器里里外外翻了一遍 就一个服务器配置程序(宝塔),和一个服务器端程序(也是易语言写的)可是打开就一个输入框什么都没了 按钮都没有,他也没运行,其他也就没什么有价值的了,那么他的会员系统呢?? 

还是继续回去看客户端程序,Ollydbg打开导入外挂,翻了半天发现了很多新东西。

QQ截图20180104135437.jpg

访问了这个地址的主域名是一个点卡代售平台,在平台大概了解了下

平台提供会员数据接口、激活码、点卡\授权等等一系列的SDK 看来就是专门为外挂这种程序而生的

写个外挂你只需要写核心的模块那么剩下的会员功能授权系统等等的都可以通过这个平台来实现

QQ截图20180104135803.jpg

系统里面配置各种参数和添加卡这些的都有 确实超乎我的想象(贫穷限制了我的想象力)

这下的话整个软件就差不多摸清了(其实FTP账号密码在Ollydbg也可以看到 但是很难注意到)

对于要是改动外挂的话测试了下把他程序的接口改成我的接口(因为用的那个平台的每个接口只是后面的字符串不一样所以可以直接替换)

QQ截图20180104140435.jpg

查找接口的域名然后找到对于的接口(因为每个功能的接口不一样)

QQ截图20180104140511.jpg

找到后进行二进制编辑把他之前的字符串改成自己的,这里一定要注意千万不要改错了 

别把他登录的接口改成了你注册的接口 至于怎么区分很简单,把他所有接口的域名都本地劫持,

 然后本地搭建个服务器挨个功能测试就是了,其实更简单的就是劫持了直接按照接口返回的数据模拟返回

正常: 客户端请求正常接口 验证成功就返回 200

本地劫持:请求过来直接给他返回200

这样也是可以的 因为我看接口平台官方文档介绍的,也测试了是可以的

把外挂的接口字符串改成我的后测试了注册是可以的,但是对我来说这没啥意义也就测试了 也没时间挨个去检查接口挨个测试

QQ截图20180104134031.jpg

剩下的就是看外挂功能,资源文件有几个文件,在Ollydbg打开的时候看到很多路径包括游戏路径这些。运行测试了下就是在游戏资源目录里面释放资源文件(游戏的资源模块 像地图啊 音频包啊之类的)。感觉没太大的意义 也是一个很简单的外挂,其他功能也就没深挖了

其实游戏就是娱乐 开心就好,希望广大的朋友仅是娱乐的话就不要把你的快乐建立在别人的痛苦之上 。

*本文原创作者:野狗,本文属FreeBuf原创奖励计划,未经许可禁止转载

分享到:更多 ()