|
协议封包漏洞实例 今天以实例来深入了解一下 协议封包漏洞导致的变态功能效果以及如何安全应对。外挂与反外挂是相辅相成的,逆水行舟,不进则退。想做好一方面,必须也要精通你的背面。 以某游戏的无敌功能为例。(仅做技术交流) 首先找到该游戏的发包函数,此游戏没有重新实现发包函数,直接send发送的加密包。我们说如果有无敌,不死的变态功能存在的话,一定会在发包的位置看到人物掉血包,人物死亡包或其他封包,因为如果没有这些对人物产生负面影响的封包的话,说明处理全在服务器,那么便不可能实现无敌,不死功能了。这是个必然的情况,因为无论是客户端还是服务端,总要有一个地方来计算这些结果数值。 明白了这个道理就很简单了。 我们在人物受到伤害的时候抓到封包。 可能有人会问,send位置发包比较频繁,很难抓到自己想要的封包,那么好吧!如果你没有骷髅老师单身多年的手速,可以选择在send的位置hook来抓包,如果不懂hook,那等我以后的专题讲解...总之我们是可以很容易抓到人物受到伤害的时候的封包的,这个游戏受到伤害就死亡了...也就是死亡封包。 如下代码: 由于发表视频在各论坛及其不方便,所以采用图文的格式,需要看完整视频可以关注微信公众号,任鸟飞逆向。本文有疑惑的知识点,也可以找我探讨。 mov edi, edi push ebp mov ebp, esp sub esp, 10 push esi send 头部下断 ,人物死亡封包是0x23包长的封包,虽然现在的封包是加密包,但是我们今天只是分析一个变态功能,并不需要去主动发送封包,所以不需要去找解密call或则是明文包。 断下以后,我们ctrl+F9返回找 人物死亡CALL,只有在人物死亡的时候才会断下的CALL,如果有多个这样的CALL,选择第一个返回的即可,也就是最内层的即可,不懂为什么?不妨思考一下,不懂可以问我,找到CALL如下: push eax push 2 call 0095806D test eax, eax je short 007638B4 ; eax==0的时候跳转 push -1 ; eax!=0的时候执行下去 人物死亡 push 3 lea ecx, dword ptr [ebp-44] call 00957FF4 lea ecx, dword ptr [ebx+5DFC] mov eax, dword ptr [ecx] push 1 call dword ptr [eax+C] mov esi, dword ptr [edi] mov ecx, ebx call 007665C9 push eax push dword ptr [ebp+8] mov ecx, edi push dword ptr [ebp-10] call dword ptr [esi+1F0] ; 人物死亡CALL push 4 lea ecx, dword ptr [ebp-44] call 00958039 or dword ptr [ebp-4], FFFFFFFF lea ecx, dword ptr [ebp-44] call 00957F3C call 00A4706C retn 4 我们有很多种选择 可以直接把死亡CALL NOP掉或则直接retn 。 可以把能跳过死亡CALL的跳转命令直接修改成JMP,如上文中的JE死亡判断。 也可以直接在send上下HOOK 如果包长为0x23 就不让其发送,当然在其他封包没有0x23的情况下,如果有相同的情况还要判断包头。 下面是视频展示: 效果视频中,我不止做了无敌还尝试做了无cd,无限泡 那么这是游戏公司疏忽吗?在我理解应该不是,这种实时对战游戏,需要小延时,需要游戏的流畅,迫不得已的选择。 那么这样的选择在反外挂方面就要多付出一下精力,例如在代码段做CRC检测,在尽量外层的调用中做下检测的伏笔,因为是对战模式,提供玩家录像手动举报渠道等等。
| 
|小黑屋|我爱辅助
( 辽ICP备19006053号-1 )
雷达卡
发表于 2020-5-16 08:38:32
提升卡
沉默卡
喧嚣卡
变色卡
显身卡