大神论坛

找回密码
快速注册
查看: 276 | 回复: 0

[原创] 对一款老游戏的逆向破解

主题

帖子

0

积分

初入江湖

UID
688
积分
0
精华
威望
0 点
违规
大神币
68 枚
注册时间
2023-10-14 10:57
发表于 2024-01-15 21:58
本帖最后由 TwilightZ 于 2024-01-15 21:58 编辑

这个是个2010年的游戏(程序日期),官网早就倒闭了,尽管如此,还是希望尊重版权。请管理高抬贵手,有违规的地方通知我。打这么多字不容易

欢迎来到“某高青蛙”XXX教程,吾是一个小白,一只菜鸟级的青蛙。如果吾在教程中犯了错误,欢迎纠正。

首先,吾们来试玩一下这款古老的游戏。哎呀,有时间限制,真是让人头疼。

不过没关系,吾们有PEID工具,可以查看一下壳。看,ASProtect 1.22 - 1.23 Beta 21 -> Alexey Solodovnikov

运行程序,到程序基址,试试搜索字符串register。搜到了,也能断下,但是似乎没啥用(吾太菜了,不会分析,那就不走这条路)。

(从时间方面考虑,似乎可以成功,记不清楚了,但是目前不太好复现,不给吾试用的机会了。大概思路就是用游戏加速减速工具(论坛有),然后呢,这个工具确实是有效果;xuetr应用层钩子 进程钩子扫一下这个变速器 挂钩的时间相关的API;然后再断下这个几个API 慢慢回溯,找到调用的地方 然后再猜一下,这个就不说了,可以试一下,目前麻烦复现,懒得折腾)

那么从启动时的弹窗入手,会不会注册了就不弹出这个窗口了?先回溯一下创建这个窗口的位置。断CreatewindowExA回溯比较麻烦,忘记能不能回溯过去了。偷懒的做法是 F9运行程序,弹出窗口,

下DestroyWindow断点(对某些窗口可能不管用,先试试)。

然后关闭这个窗口(也就是点击quit) 慢慢F8回溯到程序领空(似乎也不是程序领空?壳申请的一部分内存,我不清楚怎么描述,求大佬解惑)。

00AA142D    53              push ebx                                 ; Froggy.00400000
00AA142E E8 D53CFFFF call 00A95108 ; jmp 到 kernel32.FindResourceA
00AA1433 50 push eax
00AA1434 53 push ebx ; Froggy.00400000
00AA1435 E8 4E3DFFFF call 00A95188 ; jmp 到 kernel32.LoadResource
00AA143A 50 push eax
00AA143B E8 503DFFFF call 00A95190 ; jmp 到 kernel32.SetHandleCount
00AA1440 50 push eax
00AA1441 53 push ebx ; Froggy.00400000
00AA1442 E8 693DFFFF call 00A951B0 ; jmp 到 user32.DialogBoxIndirectParamA
00AA1447 5B pop ebx ; 0012FB88
00AA1448 5D pop ebp ; 0012FB88
00AA1449 C2 1400 retn 0x14

看到 FindResourceA LoadResource DialogBoxIndirectParamA 这让吾想到了,难道是从资源加载的这个窗口?

看一下资源里有没有窗口资源。加壳了原版程序看不了资源?不管三七二十一,运行程序,直接dump(直接od 或者scylla或者loardpe,个人喜欢用scylla)。

ResourceHacker看一下dump出来的这个exe 就能看到资源了(可能对某些壳无效)。

刚好可以看到两个dialogbox资源 一个103 一个137。103就是那个未注册窗口,137就是注册给xxx。

额 断一下FindResourceA(不确定能不能断下可以断 FindResourceW 和 FindResourceExW 以及FindResourceExA)。
断在了FindResourceA,资源id刚好是0x67,也就是103。

改一下参数137 刚好弹出已注册的窗口,当然这里显示没有用,进游戏还是未注册。

思路有了,找一下哪里给它赋值0x67,但是太菜,找不到合适的API(Getversion不行),使得壳已经解码同时还未运行到这里。那就往上回溯 。

所以破解方法是: od载入exe,记得删除所有断点。下FindResourceA断点,F8 回溯到这里。

00AA142E    E8 D53CFFFF     call 00A95108                            ; jmp 到 kernel32.FindResourceA
00AA1433 50 push eax
00AA1434 53 push ebx
00AA1435 E8 4E3DFFFF call 00A95188 ; jmp 到 kernel32.LoadResource
00AA143A 50 push eax
00AA143B E8 503DFFFF call 00A95190 ; jmp 到 kernel32.SetHandleCount
00AA1440 50 push eax
00AA1441 53 push ebx
00AA1442 E8 693DFFFF call 00A951B0 ; jmp 到 user32.DialogBoxIndirectParamA
00AA1447 5B pop ebx
00AA1448 5D pop ebp
00AA1449 C2 1400 retn 0x14


删除FindResourceA断点,然后 在00AA1449 下断点。

F9运行程序,弹出的窗口点击play ,断在00AA1449。

再回溯。

00402EE7  |.  E8 24250000   call Froggy.00405410
00402EEC |. 84C0 test al,al
00402EEE |. 55 push ebp
00402EEF |. 74 58 je short Froggy.00402F49
00402EF1 |. 8B15 1CEA4A00 mov edx,dword ptr ds:[0x4AEA1C]
00402EF7 |. 8BB424 AC0300>mov esi,dword ptr ss:[esp+0x3AC]
00402EFE |. 68 60494000 push Froggy.00404960
00402F03 |. 52 push edx ; ntdll.KiFastSystemCallRet
00402F04 |. 68 89000000 push 0x89
00402F09 |. 56 push esi ; Froggy.00400000
00402F0A |. FF15 ACB14900 call dword ptr ds:[0x49B1AC]
00402F10 |. 3D ED030000 cmp eax,0x3ED
00402F15 |. 74 07 je short Froggy.00402F1E
00402F17 |. 3D EE030000 cmp eax,0x3EE
00402F1C |. 75 5C jnz short Froggy.00402F7A
00402F1E |> 55 push ebp
00402F1F |. 8D8C24 940000>lea ecx,dword ptr ss:[esp+0x94]
00402F26 |. E8 35230000 call Froggy.00405260
00402F2B |. 84C0 test al,al
00402F2D |. 0F84 3D060000 je Froggy.00403570
00402F33 |> 55 /push ebp
00402F34 |. 8D8C24 940000>|lea ecx,dword ptr ss:[esp+0x94]
00402F3B |. E8 20230000 |call Froggy.00405260
00402F40 |. 84C0 |test al,al
00402F42 |.^ 75 EF \jnz short Froggy.00402F33
00402F44 |. E9 27060000 jmp Froggy.00403570
00402F49 |> A1 1CEA4A00 mov eax,dword ptr ds:[0x4AEA1C]
00402F4E |. 8BB424 AC0300>mov esi,dword ptr ss:[esp+0x3AC]
00402F55 |. 68 304B4000 push Froggy.00404B30
00402F5A |. 50 push eax
00402F5B |. 6A 67 push 0x67
00402F5D |. 56 push esi ; Froggy.00400000
00402F5E |. FF15 ACB14900 call dword ptr ds:[0x49B1AC]
00402F64 |. 3D ED030000 cmp eax,0x3ED

程序目前运行到的是00402F64,观察一下,00402F5E  |.  FF15 ACB14900 call dword ptr ds:[0x49B1AC]这里就是弹出未注册弹窗的地方。往上看看有没有跳转,刚好可以看到有一个跳转00402EEF  |. /74 58         je short Froggy.00402F49,而且00402F49上面是一个jmp跳转。

所有猜测关键跳转在00402EEF,决定跳转的是00402EE7  |.  E8 24250000   call Froggy.00405410和00402EEC  |.  84C0          test al,al。直接进这个call ,00405410,改成mov al,1和retn,也就是返回值改成1。

额,确实猜对了,虽然吾并不太明白。

好了,晚安。

至于有没有暗装,吾不会玩这个游戏,自己试试,出问题也不要找我哟。

这玩意儿加壳,自己手动打补丁


延时1000
地址00405410
原始A1ACF04A0085C0
补丁B801000000C390

就这样,成品放出来也没有意义, 自己玩吧,都告诉你答案了,你不试试?

吾的口号:瞎蒙,瞎猜


注:若转载请注明大神论坛来源(本贴地址)与作者信息。

返回顶部