這個外掛一般人不敢下手

背景

在無意間從網絡上獲取到一款付費的游戲黑產外掛樣本，并且該外掛號稱可以無視游戲客戶端的反外掛檢測功能。好奇的心就不由自主的將外掛樣本下載下來，并丟進虛擬機環境嘗試學習下強大的外掛功能。

從文件上看起來這個外掛是個正常的應用程序(竟然dll都沒有)，接下來就是觀察下這個外掛的行為，就出現了下面誅心的對話框展示。

看完前面這兩個對話框及文字，讓我內心久久不能平靜，現在這游戲黑產外掛都開始都這強大了嗎？都開始采用 技術+心理戰 策略了嗎?

瑟瑟發抖過后，下面就分析學習下這個外掛的技術功能。

不是破解哦，我付費買了個授權卡號哦。不是破解哦，我也不會破解技術！

基本分析

對這個樣本的基本分析：

1、分析樣本是否采用第三方加殼軟件進行加殼；

2、分析樣本的依賴模塊有哪些；

3、用進程監控工具分析樣本的運行數據行為。

從上圖中可以看到該樣本的區段增加了一個vmp0的區段名稱，這就說明該樣本有用到vmp殼的功能進行對樣本的代碼或數據進行做保護。

從上圖中，該樣本的主要依賴模塊主要是系統的模塊，沒有依賴第三方的模塊，那么這個外掛的所有功能都是集中在這個應用程序中。

從上圖中，該樣本還掛鉤RegisterClassA函數，這個函數主要通過注冊窗口類的功能，也就是改變這個樣本這個MFC開發的應用程序窗口信息以及替換對話框資源信息用的。

網絡驗證分析

由于所購買的卡號已到期，那么接下來就學習分析下這個卡號授權的驗證方式。對于分析這種授權方式，在游戲黑產外掛中大部分都是采用的是市面上現成的網絡驗證（其實也有外掛作者自己寫網絡驗證的 ）。

個人覺得外掛采用市面的網絡驗證主要兩個因素：外掛作者主要的精力還是在外掛功能實現上；外掛作者的技術能力儲備不足。

所以接下來先對樣本確認，采用了市面那款網絡驗證（收費還是定制），然后才能高效的對這個網絡驗證進行做分析。

對于這種授權方式的驗證方式，最直接的就是要么靜態的分析（IDA工具）要么動態分析（ollydbg工具）的字符串信息，然后通過字符串信息進行慢慢調試跟蹤分析。要么就是通過分析網絡行為然后進行通過關鍵函數下斷點跟蹤分析。

從上圖中可以看到關鍵字 驗證_天之盾,這個就是這個樣本所采用的第三方網絡驗證。這個天之盾的網絡驗證，就是天盾網絡驗證的定制版本。

上圖就是這個天盾網絡驗證的一些公開視頻截圖，這里突然起了一句話，打敗對手的最好招式，就是了解對手的招式然后見招拆招。

下面就這個天盾網絡驗證做下梳理，天盾網絡是基于中文編程易語言開發的。

上圖就是該樣本所采用的授權卡方式驗證的關鍵代碼功能實現流程。

卡號授權 驗證的關鍵流程：

1.從配置文件上進行讀取授權卡號；

2.加載替換樣本中的皮膚；

3.進行網絡驗證初始化工作；

4.進行關鍵檢測；

5.進行網絡驗證。

上圖是天盾網絡驗證的服務端程序（這個網絡上可以下載到），可以看到這個卡號授權的功能還是非常強大的，還能試用、停封、分析卡號的在線量等等功能。

通過對以上的了解，我們此時對網絡驗證的分析就會比較有頭緒了，就可以針對這塊網絡驗證進行查閱相關資料然后進行做分析了。

針對這種網絡驗證的對抗思路：

(需要足夠的耐心)

1.通過抓包分析網絡通信包，然后進行對數據包分析做手腳進行驗證；

2.通過下斷點方式進行不斷調試，分析出網絡驗證的校驗函數或地址，并且在這過程中需要排除掉許許多多的暗樁。

外掛功能分析

在分析樣本過程中，運行著ollydbg工具和pchunter工具，在啟動外掛樣本，那么會發現這個外掛樣本是無法啟動和啟動就崩潰的情況。

并針對這個樣本里面的關鍵代碼和數據，這個樣本有對這兩個工具做對抗的檢測操作。防止這個樣本的被調試分析和內存dump分析了。

分析下這個樣本程序外掛功能，這個樣本就是在啟動的時候進行做一次系統快照，然后判斷下是有啟動這些分析工具，沒有運行就正常啟動了外掛，所以不用過這個檢測，先把外掛啟動起來，在啟動調試分析工具那就可以開始分析之旅了。

下面就開始分析下這個外掛的對這游戲做了那些手腳。

這個外掛的主要過保護功能：

1、將外掛樣本放到游戲目錄中；

2、接著從這個外掛作者服務器上去下載其修改后的“過保護“的文件；

3、進行替換到游戲目錄中；

4、替換后再進行啟動游戲，這樣達到過掉游戲檢測的思路。

這個作者確實很辛苦，把這個過保護的事情做的很細致。