一、工具介绍

使用工具：Ollydbg，PEID，ImpREC，Cheat Engine，火绒剑

实现功能：除去广告，游戏秒杀。

二、除去广告

1、初始判断

点击开始游戏，弹出窗口，点击继续，弹出游戏界面。

查看火绒剑进程信息，发现了创建了两个进程，为以下创建关系。

qqllk.exe -> qqllk.ocx -> kyodai.exe

直接运行kyodai.exe，程序奔溃。

直接运行qqllk.ocx（需修改后缀名），可运行。判断qqllk.ocx 对了kyodai.exe进行某些操作。

2、脱壳

对qqllk.ocx（需修改后缀名）进行信息查看

通过PEID 可以看出，程序加了ASPack壳

通过ESP定律，OD插件OllyDump，ImpREC， 脱除

脱除效果：

3、去广告

在脱壳后程序下API断点：CreateProcessA

查看堆栈信息，发现kyodai.exe进程在创建时被挂起

ctrl+F8自动步过，发现进行了一系列的循环操作，猜测在修改kyodai.exe的进程数据

下API断点：ResumeThread

发现进程恢复后游戏启动

可推断qqllk.ocx进程 创建 kyodai.exe进程并挂起

再对 kyodai.exe进程 进行了数据解密恢复

接着恢复进程运行游戏

恢复进程时，OD附加kyodai.exe进程，在OEP下断，并dump进程，完成去广告。

4、总结：

一共创建了三个进程，分别对应qqllk.exe -> qqllk.ocx -> kyodai.exe 程序。

kyodai.exe 程序数据被加密，需要qqllk.ocx进程解密恢复运行。

三、秒杀游戏

1、初始判断

通过连连看的试玩，猜测存储地图图标元素，是个地图数组

存储道具列表元素，是个道具数据列表

目标：得到雷的类型数据，

得到道具列表位置，

修改道具数据列表

实现模拟点击

完成秒杀

2、目标逐步完成

雷数据类型：

猜测地图数组需要随机初始化，在OD下API断点：rand

在断下来的地方，进行回溯逆向分析，

找到地图数组

随机初始化数组后，得到雷的数据类型。

随机初始化后地图数组

道具列表：

用CE附加进程，找到道具列表的雷数 数据地址，

进而锁定道具数据列表

模拟点击坐标：

通过回调函数，下右键点击 消息断点LBUTTONDOWN，获取坐标。

3、实现方案

1. 修改道具y数据列表
2. 实现模拟点击

   完成秒杀游戏

   4、功能代码

   //实现代码：//找到进程
   
   HANDLE ReProcess = 0;PROCESSENTRY32 pe32;pe32.dwSize = sizeof(pe32);HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);BOOL bMore = ::Process32First(hProcessSnap, &pe32);//多字节转宽字节
   
   WCHAR proname[10] = {};MultiByteToWideChar(CP_ACP, MB_COMPOSITE, "kyodai.exe", 10, proname, 10);while (bMore){if (wcscmp(pe32.szExeFile, proname) == 0){ReProcess = ::OpenProcess(PROCESS_ALL_ACCESS, FALSE, pe32.th32ProcessID);break;}bMore = Process32Next(hProcessSnap, &pe32);}HANDLE process;process = OpenProcess(PROCESS_ALL_ACCESS, FALSE, 0xeb4);////修改堆数据//修改雷类型
   
   BYTE leitype = 0xF4;SIZE_T num = 0;WriteProcessMemory(ReProcess, (LPVOID)0x12ac7d, &leitype, 1, &num);//修改雷数
   
   BYTE leishu = 0x99;SIZE_T shu = 0;WriteProcessMemory(ReProcess, (LPVOID)0x12ac7e, &leishu, 1, &shu);HWND window = FindWindowA(NULL, "QQ连连看");//发送模拟点击for (int i = 0; i < 100; i++){Sleep(50);PostMessage(window, WM_LBUTTONDOWN, MK_LBUTTON, MAKELPARAM(681, 200));printf("发送%d次\n", i);}////完成

   四、附加：升级提升

   1、缺陷改进

   可见地图数组 和 道具数据列表 是堆空间，一旦重启电脑 或 更换电脑，数据地址将变化，外挂代码失效。

   两种决解方案：1. Hook往道具列表赋值的指令，获取寄存器的值，从而实时获取堆空间地址。

   2.修改往道具列表赋值的指令，实现按自己的意愿修改道具列表

   这里采用第2种方案：

   在道具数据列表 下硬件写入断点，回溯分析到 道具判断的地方。

   

   

   2、改进功能代码

   //实现代码：//找到进程
   
   HANDLE ReProcess = 0;PROCESSENTRY32 pe32;pe32.dwSize = sizeof(pe32);HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);BOOL bMore = ::Process32First(hProcessSnap, &pe32);//多字节转宽字节
   
   WCHAR proname[10] = {};MultiByteToWideChar(CP_ACP, MB_COMPOSITE, "kyodai.exe", 10, proname, 10);while (bMore){if (wcscmp(pe32.szExeFile, proname) == 0){ReProcess = ::OpenProcess(PROCESS_ALL_ACCESS, FALSE, pe32.th32ProcessID);break;}bMore = Process32Next(hProcessSnap, &pe32);}//修改指令
   
   DWORD attibute;VirtualProtectEx(ReProcess, (LPVOID)0x0041de2e, 0x7, PAGE_READWRITE, &attibute);//cmp bl,0x0
   
   BYTE OPecode1[] = { '\x66', '\xc7', '\x40', '\x01', '\xf4', '\x99' ,'\x90' };DWORD num;WriteProcessMemory(ReProcess, (LPVOID)0x0041de2e, OPecode1, 7, &num);VirtualProtectEx(ReProcess, (LPVOID)0x0041de2e, 0x7, attibute, &attibute);CloseHandle(ReProcess); HWND window = FindWindowA(NULL, "QQ连连看");//发送模拟点击消息for (int i = 0; i < 100; i++){Sleep(50);PostMessage(window, WM_LBUTTONDOWN, MK_LBUTTON, MAKELPARAM(681, 200));printf("发送%d次\n", i);}////完成

   五、效果

   完成除去广告，秒杀游戏

   

   个人总结：我比较喜欢内联HOOK

   附件：

   QQ连连看外挂.exe

   KID