一起來逆向分析吃雞外掛

背景

最近在瀏覽某網絡論壇，看到一款刺激戰場的吃雞外掛軟件下載量很高，出于對游戲外掛樣本的敏感及逆向的專注，就從論壇上下載一個樣本，并進行對該游戲外掛樣本，深度功能分析及還原破解的逆向實踐，主要從外掛樣本的功能表現，樣本的基礎屬性、樣本的實現功能、樣本的驗證功能破解進行實踐。

基本屬性

(分析這些未知的軟件切記得在虛擬機環境下進行)

啟動游戲輔助樣本后，從表面上來看功能確實很強大，透視、距離、顯血、自瞄這些都是玩家想用游戲輔助的一個痛點。但這游戲輔助功能都有實現嗎？有這么強大了嗎？

結合Exeinfo PE和pchunter工具可以得出樣本基本屬性的結果。

該樣本是通過易語言(WTWindow類名是易語言特有)進行開發的，從查殼和區段信息來看，該樣本是沒有做任何保護的普通樣本。

注冊碼破解

樣本點擊開啟輔助功能的時候，提示需要先進行獲取注冊碼，進行對樣本功能激活，才能正常使用樣本的功能。

點擊獲取注冊碼按鈕，會彈出掃描支付的對話框，但是對話框 是空白的。通過逆向分析得出的結論是，奈何該樣本開發作者的服務器，已經過期而且是沒有進行備案登記的，所以樣本通過http通訊方式，進行向服務器請求支付的二維碼圖片就請求失敗，所以彈出的支付對話框就是空白的界面。

對于要逆向破解程序某功能點時，主要需要通過強大的ollydbg工具進行做動態調試，其他工具如IDA、procmon、pchunter等主要是作為逆向分析破解的輔助點和參考點。

分析易語言樣本可采用的通用突破點

1. 通過下對話框函數斷點MessageBoxA
2. 從字符串進行入手下斷點
3. 通過搜索易語言按鈕事件特征碼(FF 55 FC 5F 5E 89 5D F4 )進行下斷點。

注冊碼的破解流程步驟

在ollydbg工具中，通過下系統API函數也就是彈出對話的MessageBoxA函數下int3斷點(F2斷點)，接著去點擊獲取的按鈕，以觸發調用函數，這個時候ollydbg工具中也會觸發int3斷點，在通過在斷點中的堆棧信息上進行回溯分析。

基于以上的方法進行分析，就可以不用通過掃描二維碼支付，就可以獲取到正確的轉賬單號，從而獲取到正確的激活碼。正確的轉賬單號直接寫在代碼中進行做判斷，并且代碼中校驗是否正確的方式，通過賬單號兩位數為單位進行校驗的。校驗正確后，這個時候就會彈出正確激活碼字符串信息了。

通過輸入前面獲取到激活碼字符串信息，就可以進行激活輔助軟件了。這個時候在進行點擊開啟輔助功能，就發現可以有正確的對話框提示了。(通過測試和驗證分析并沒有所謂的修改游戲客戶端數據進行作弊的功能)

鉤子技術分析

（外掛樣本中應用到鉤子技術）

1.實現鉤子技術需要的三個系統函數

2.全局鉤子注入方式的實現步驟

1.調用SetWindowsHookEXA設置安裝鉤子(可以按需進行設置不同類型鉤子)

2.實現鉤子的回調函數，再回調函數里面調用CallNextHookEx。

3.調用UnhookWindowsHookExA卸載鉤子

該輔助樣本實現的功能

該吃雞樣本實現安裝了兩個鉤子，主要用于監控對話框的輸入事件，監控CBT程序的。并沒有通過鉤子技術，實現對游戲客戶端進程注入模塊。

監控對話框輸入事件實現

對當前線程進行安裝WH_MSGFILTER 鉤子

鉤子的回調函數:主要是進行對話框輸入事件進行監控。

對CBT應用程序監控

對當前線程進行安裝 WH_CBT鉤子

CBT鉤子的回調函數實現

總結

基于以上的分析，可以很清晰的得出結果，該輔助作者開發彈出對話框功能很多，實際實現有效功能是微乎其微的，它只是一個框架流程進行對話框展示。其實該樣本就是個沒有實際功能的輔助，只是為了忽悠小白的。

作為一個常規的游戲輔助軟件，一般都需具備網絡驗證、注入功能、內存讀寫功能。

游戲中購買使用游戲輔助軟件，這個是相對不明智的選擇，畢竟這個雙向的危險系數非常高的。其一使用游戲輔助那么就必定會面臨被封號的風險。其二購買游戲輔助又容易被忽悠、被騙的情況出現。