前言：

最近在瀏覽某網(wǎng)絡論壇，看到一款刺激戰(zhàn)場的吃雞外掛軟件下載量很高，出于對游戲外掛樣本的敏感及逆向的專注，就從論壇上下載一個樣本，并進行對該游戲外掛樣本，深度功能分析及還原破解的逆向實踐，主要從外掛樣本的功能表現(xiàn)，樣本的基礎屬性、樣本的實現(xiàn)功能、樣本的驗證功能破解進行實踐。

基本屬性

(分析這些未知的軟件切記得在虛擬機環(huán)境下進行)

啟動游戲輔助樣本后，從表面上來看功能確實很強大，透視、距離、顯血、自瞄這些都是玩家想用游戲輔助的一個痛點。但這游戲輔助功能都有實現(xiàn)嗎？有這么強大了嗎？

結合Exeinfo PE和pchunter工具可以得出樣本基本屬性的結果。

該樣本是通過易語言(WTWindow類名是易語言特有)進行開發(fā)的，從查殼和區(qū)段信息來看，該樣本是沒有做任何保護的普通樣本。

注冊碼破解

樣本點擊開啟輔助功能的時候，提示需要先進行獲取注冊碼，進行對樣本功能激活，才能正常使用樣本的功能。

點擊獲取注冊碼按鈕，會彈出掃描支付的對話框，但是對話框 是空白的。通過逆向分析得出的結論是，奈何該樣本開發(fā)作者的服務器，已經(jīng)過期而且是沒有進行備案登記的，所以樣本通過http通訊方式，進行向服務器請求支付的二維碼圖片就請求失敗，所以彈出的支付對話框就是空白的界面。

對于要逆向破解程序某功能點時，主要需要通過強大的ollydbg工具進行做動態(tài)調試，其他工具如IDA、procmon、pchunter等主要是作為逆向分析破解的輔助點和參考點。

分析易語言樣本可采用的通用突破點

通過下對話框函數(shù)斷點MessageBoxA 從字符串進行入手下斷點 通過搜索易語言按鈕事件特征碼(FF 55 FC 5F 5E 89 5D F4 )進行下斷點。

注冊碼的破解流程步驟

基于以上的方法進行分析，就可以通過掃描二維碼支付，就可以獲取到正確的轉賬單號，從而獲取到正確的激活碼。正確的轉賬單號直接寫在代碼中進行做判斷，并且代碼中校驗是否正確的方式，是通過賬單號兩位數(shù)為單位進行校驗的。校驗正確后，這個時候就會彈出正確激活碼字符串的信息了。

通過輸入前面獲取到激活碼字符串信息，就可以進行激活輔助軟件了。這個時候再進行點擊開啟輔助功能，就發(fā)現(xiàn)可以有正確的對話框提示了。(通過測試和驗證分析并沒有所謂的修改游戲客戶端數(shù)據(jù)進行作弊的功能)

鉤子技術分析

（外掛樣本中應用到鉤子技術）

1.實現(xiàn)鉤子技術需要的三個系統(tǒng)函數(shù)

2.全局鉤子注入方式的實現(xiàn)步驟

1.調用SetWindowsHookEXA設置安裝鉤子(可以按需進行設置不同類型鉤子)

2.實現(xiàn)鉤子的回調函數(shù)，再回調函數(shù)里面調用CallNextHookEx。

3.調用UnhookWindowsHookExA卸載鉤子

該輔助樣本實現(xiàn)的功能

該吃雞樣本實現(xiàn)安裝了兩個鉤子，主要用于監(jiān)控對話框的輸入事件，監(jiān)控CBT程序的。并沒有通過鉤子技術，實現(xiàn)對游戲客戶端進程注入模塊。

監(jiān)控對話框輸入事件實現(xiàn) 對當前線程進行安裝WH_MSGFILTER 鉤子

鉤子的回調函數(shù):主要是進行對話框輸入事件進行監(jiān)控。

對CBT應用程序監(jiān)控 對當前線程進行安裝 WH_CBT鉤子

CBT鉤子的回調函數(shù)實現(xiàn)

文末福利

需要【游戲逆向】學習資料的同學可以關注轉發(fā)后 在后臺私信【游戲逆向】

即可免費領取 一定要記得關注+轉發(fā)哦

總結

基于以上的分析，可以很清晰地得出結果，該輔助作者開發(fā)彈出對話框的功能很多，實際實現(xiàn)有效功能是微乎其微的，它只是一個框架流程進行對話框展示。其實該樣本就是個沒有實際功能的輔助，只是為了忽悠小白的。

作為一個常規(guī)的游戲輔助軟件，一般都需具備網(wǎng)絡驗證、注入功能、內存讀寫功能。

游戲中購買使用游戲輔助軟件，這個是相對不明智的選擇，畢竟這個雙向的危險系數(shù)非常高的。其一使用游戲輔助那么就必定會面臨被封號的風險。其二購買游戲輔助又容易被忽悠、被騙的情況出現(xiàn)。