逆向一个老的双升扑克游戏,并完成外挂
逆向一个老的双升扑克游戏,并完成外挂
【文章作者】: cdanlover
【软件名称】: 古今大战80分
【加壳方式】: 无
【保护方式】: Name/Serial
【编写语言】: Delphi
【使用工具】: peid、DeDeDark、RadASM、MASM32、OD、WINDOWS计算器
【操作平台】: WINXP
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
好久没有逆向过程序了,手都有点生了,今天有空就找了一个简单的来练练手,原来写过这个游戏的注册机,算法挺简单,估计软件设计也不会太复杂,于是就有了这篇笔记。
这个游戏是用Delphi编程的,于是找来DeDeDark对其反了一下,很容易找到菜单的调用过程地址:
Caption = 开局(K)
OnClick = MIShuffleClick 00464A58
Caption = 摸牌(M)
OnClick = MISettleClick 00464A60
Caption = 扣牌(D)
OnClick = MIDiscardClick 00464A70
Caption = 出牌(C)
OnClick = MIShowClick 00464A78
Caption = 作弊模式
OnClick = MIShowCardClick 004649FC
Caption = 察看
Caption = 底牌
OnClick = N14Click 00466CAC
首先是对“开局”进行跟踪的,发现在发牌的过程中,在寄存器中反复出现同一个地址,我就想到有可能是程序申请到的一块内存的开始地址,用来存放牌面信息,在我的办公电
脑上是00B53250,后来在另一台电脑上跟踪时发现这个地址变了,于是就想找出是什么时间开始取的这块内存,发现在程序一开始就进行了申请:
004678E4 > $ 55 push ebp
004678E5 . 8BEC mov ebp,esp
004678E7 . 83C4 F4 add esp,-0C
004678EA . B8 1C774600 mov eax,0046771C
004678EF . E8 B8DEF9FF call 004057AC ; 申请内存
004678F4 . A1 408E4600 mov eax,dword ptr ds:[468E40]
004678F9 . 8B00 mov eax,dword ptr ds:[eax]
004678FB . E8 746AFCFF call 0042E374
00467900 . 8B0D 348D4600 mov ecx,dword ptr ds:[468D34] ; 古今大战.00469980
00467906 . A1 408E4600 mov eax,dword ptr ds:[468E40]
0046790B . 8B00 mov eax,dword ptr ds:[eax]
0046790D . 8B15 74614500 mov edx,dword ptr ds:[456174] ; 古今大战.004561B4
00467913 . E8 746AFCFF call 0042E38C ; 在call之前,内存已申请好,在call过后,地址指针等已经分配好了,开始出界面
00467918 > . A1 408E4600 mov eax,dword ptr ds:[468E40]
0046791D . 8B00 mov eax,dword ptr ds:[eax]
0046791F . E8 F46AFCFF call 0042E418 ; 已完全运行
就开始找这个00B53250,最早出现的地方,是在
mov ecx,dword ptr ds:[468D34]
[468D34] 保存一个地址:00469980,程序正常运行后,在[00469980]保存了基址:------>00B53250
在00467918处下条件记录断点,可直接定位到分配的内存基址。
在后来的分析中,发现以这个基址有很多可能关注的地方:
+F34 [00B54184] 代表本局中出的第几张牌。
+4E4 [00B53734] 比较是否为庄家,4为庄家,1为最后出牌(分析结果:1代表左边的,2代表对家,3代表右边的,4代表玩家自己)
一开始没有找到存放牌信息的地方,后来就对“扣牌”过程进行分析,其中有段:
004641E8 |. B8 14000000 mov eax,14 ; 20个元素
004641ED |. 8D55 B0 lea edx,[local.20] ; 初始化一个数组,用于保存出的牌是手中的第几张牌
004641F0 |> 33C9 /xor ecx,ecx
004641F2 |. 890A |mov dword ptr ds:[edx],ecx
004641F4 |. 83C2 04 |add edx,4
004641F7 |. 48 |dec eax
004641F8 |.^ 75 F6 jnz short 004641F0
004641FA |. B8 01000000 mov eax,1
004641FF |> 8B9483 4C0400>/mov edx,dword ptr ds:[ebx+eax*4+44C]
00464206 |. 8B52 34 |mov edx,dword ptr ds:[edx+34]
00464209 |. 8B8B 18030000 |mov ecx,dword ptr ds:[ebx+318]
0046420F |. 83E9 0A |sub ecx,0A
00464212 |. 3BD1 |cmp edx,ecx
00464214 |. 75 05 |jnz short 0046421B
00464216 |. 46 |inc esi
00464217 |. 8944B5 AC |mov dword ptr ss:[ebp+esi*4-54],eax ; 一个数组,记录出的第几张牌
0046421B |> 40 |inc eax
0046421C |. 83F8 1A |cmp eax,1A ; 与26比较,每个玩家手中25张牌
0046421F |.^ 75 DE jnz short 004641FF
发现在mov edx,dword ptr ds:[ebx+eax*4+44C]这个地方计算是哪张牌,查看这块内存发现挺有规律的,有很多4SD开始的,继续向上翻,找到第一个4SD的单元,重新跟踪,对其
下内存写入断点,就找到了这块保存牌面信息的地方,当eax=1时,即可以算出玩家手中第一张牌保存的地方了,每个双字保存一个地址指针,指向每一张牌:
左手边玩家的:
00B53574 94 99 B5 00 70 BA B5 00 50 BC B5 00 48 BE B5
上一篇: c语言怎么会有这么多的作用域?