用户
搜索

该用户从未签到

i春秋-呆萌菜鸟

Rank: 1

0

主题

1

帖子

17

魔法币
收听
0
粉丝
0
注册时间
2020-12-7
发表于 2021-8-8 13:13:14 31612

发包类型:

在游戏或者软件中基本上都是用的以下三种发包方式:

  1. 明文发包
  2. 加密发包
  3. 线程循环发包

我们在分析之前需要先搞懂目标是那种发包方式。

判断游戏发包方式:

  1. 线程循环发包所有功能堆栈返回地址基本上大同小异
  2. 加密发包在包文中没有明文内容

首先下send函数头部下断:

移动:

000000CAD7A0FDB8  00007FF660DC18FB  返回到 jx3clientx64.00007FF660DC18FB 自 ??? 
000000CAD7A0FE28  00007FF660A1A028  返回到 jx3clientx64.00007FF660A1A028 自 ???
000000CAD7A0FEC8  00007FFD8CF0628E  返回到 engine_lua5x64.00007FFD8CF0628E 自 ???

技能:

000000CAD7A0FDB8  00007FF660DC18FB  返回到 jx3clientx64.00007FF660DC18FB 自 ??? 
000000CAD7A0FE28  00007FF660A1A028  返回到 jx3clientx64.00007FF660A1A028 自 ???
000000CAD7A0FEC8  00007FFD8CF0628E  返回到 engine_lua5x64.00007FFD8CF0628E 自 ???

可以看出来这游戏明显是线程发包,在次在喊话试试:

00000007E2FFE1E8  00007FF660DC18FB  返回到 jx3clientx64.00007FF660DC18FB 自 ???
00000007E2FFE258  00007FF660B09C35  返回到 jx3clientx64.00007FF660B09C35 自 ???
00000007E2FFE298  00007FF660B0815D  返回到 jx3clientx64.00007FF660B0815D 自 jx3clientx64.00007FF660B09B60
00000007E2FFE2F8  00007FF660B0975B  返回到 jx3clientx64.00007FF660B0975B 自 jx3clientx64.00007FF660B07FF0
00000007E2FFE348  00007FF660BD4378  返回到 jx3clientx64.00007FF660BD4378 自 jx3clientx64.00007FF660B09610
00000007E2FFE388  00007FF6609CCDD5  返回到 jx3clientx64.00007FF6609CCDD5 自 jx3clientx64.00007FF660DBEE09 
00000007E2FFE3A8  00007FF6609D0498  返回到 jx3clientx64.00007FF6609D0498 自 jx3clientx64.00007FF6609CD220
00000007E2FFE3C8  00007FF6609C84CA  返回到 jx3clientx64.00007FF6609C84CA 自 jx3clientx64.00007FF6609C78E0
00000007E2FFE3F8  00007FF660A6620C  返回到 jx3clientx64.00007FF660A6620C 自 jx3clientx64.00007FF6609C86C0

可以发现他真的很奇怪,喊话居然不是线程发包,查看包内容发下并没有我们所输入的123:

分析喊话call:

通过堆栈返回一直往上追到此call,这个call在下断时只有喊话会断下,所以姑且判断他是喊话call,但观察传参依旧是加密的,所以继续往上追:

00007FF660B08152 | 48:8BD3                  | mov rdx,rbx                             |
00007FF660B08155 | 49:8BCF                  | mov rcx,r15                             |
00007FF660B08158 | E8 031A0000              | call jx3clientx64.7FF660B09B60          |
00007FF660B0815D | 85C0                     | test eax,eax                            |

一直追到:

00007FF660BD436F | 884424 20                | mov byte ptr ss:[rsp+20],al             |
00007FF660BD4373 | E8 9852F3FF              | call jx3clientx64.*********          |
00007FF660BD4378 | 85C0                     | test eax,eax                            |

观察目标传参情况:

近聊发送123456:

1: rcx 0000019B79825EF0 L"呐惢翶"
2: rdx 0000000000000001 
3: r8 0000000000000000 
4: r9 0000000000000000 
5: [rsp+20] 00000007E2FFE000 
6: [rsp+28] 00000007E2FFDE50 
7: [rsp+30] 0000000000000008 

世界发送123456:

1: rcx 0000019B79825EF0 L"呐惢翶"
2: rdx 0000000000000020 
3: r8 0000000000000000 
4: r9 0000000000000000 
5: [rsp+20] 00000007E2FFE500 
6: [rsp+28] 00000007E2FFE3A0 
7: [rsp+30] 0000000000000008 

近聊发送789555:

1: rcx 0000019B79825EF0 L"呐惢翶"
2: rdx 0000000000000001 
3: r8 0000000000000000 
4: r9 0000000000000000 
5: [rsp+20] 00000007E2FFE000 
6: [rsp+28] 00000007E2FFDE50 
7: [rsp+30] 0000000000000008 

从此时可以看出如下:

  1. RCX不变,应该是一个绝对值
  2. rdx应该代表频道ID
  3. rsp+20
  4. rsp+28
  5. 内容长度

再次下断查看rsp+28与rsp+20:

rsp+28:

00000007E2FFDE50  0000010033323101  .123....            

rsp+20:

00000007E2FFE500  0000019B271529E0  à).'....            

此时可以看出rsp+28应该是我们的喊话内容,rsp+20暂时不清楚,但我跟了整个流程未发现程序有对他进行访问或者改写的地方,就随便传一个地址

代码喊话:


游客,如果您要查看本帖隐藏内容请回复

效果:

结语:

创建了个用于交流的QQ群:662851495


看看隐藏
使用道具 举报 回复
楼主辛苦了谢谢分享
使用道具 举报 回复
111111111111111111111
使用道具 举报 回复
发新帖
您需要登录后才可以回帖 登录 | 立即注册