网游找Call的过程中难免会遇到不方便通过数据来找的或者仅仅查找数据根本找不到的东西,但是网游中一般的工程肯定要发给服务器,比如你打怪,如果都是在本地处理的话就特别容易产生变态功能,而且不方便与其他玩家通信,所以找到了游戏发包的地方,再找功能就易如反掌了。

在游戏逆向过程中,通常会遇到下面几种情况的发包。

1.在主线程直接发包

游戏某功能-->组包-->加密-->发送

2.在线程中发包

Thread1:游戏某功能-->组包-->加密-->写缓冲区

Thread1:死循环->读缓冲区是否有内容->发送

主线程发包的话伪代码大致如下:



bool GameFunc(...)


{


if(xxx)


{


......


......


......


send(x,x,x,x);


}


}



线程发包大致伪代码如下:




char g_szBuf[4096]={0};


bool GameFunc(...)


{


if(xxx)


{


......


......


......


//打开互斥


WriteProcessMemory(...,g_szBuf......);


}


}


DWORD WINAPI ThreadProc(LPVOID lpParameter)


{


char szTmpBuf[4096]={0};


while(1)


{


//打开互斥


if(strlen(g_szBuf)!=0)


{


memcpy(szTmpBuf,g_szBuf);


ZeroMemony(g_szBuf);


}


//关闭互斥


send(....,szTmpBuf....);


ZeroMemony(szTmpBuf);


Sleep(10);


}


}



当然。。以上代码肯定有错误,大概就是表达个意思,就是一个是直接组好包就发 一个是在线程里面发


1.主线程发包


在游戏里面如何分辨是不是主线程发包?


首先肯定是跳转到3大发包函数,send , sendto ,WSASend 分别下段。 如果下断点马上就断下,那么基本就是线程发包了。除此之外,是主线程发包的可能性比较大了。


这种情况下,bp ws2_32.send下好断点后,只要Crtr+f9多跳几层,每层都打好断点就很容易判断出功能函数了


2.线程发包


那么线程发包是什么情况呢?


就是在发包函数上下断点马上就断下,而且断的非常的频繁,基本就可以确定是线程发包了。


找线程发包的主要步骤如下:


找到真正的发包函数, 找到包内容的位置。 再跟包内容的写入位置,基本就可以找到正确的明文包了。


接下来具体分析线程发包,跳出线程发包有两种方法,如果游戏发包不频繁,建议使用第一种方法,如果游戏发包异常多,建议使用第二种方法


下面的演示以天龙八部私服和官服分别演示,因为天龙八部私服发包不频繁所以用来演示第一种方法,具体操作就是 进游戏有下send断点,然后对数据包下硬件访问断点,我们去游戏选怪,硬件断点断下后,删除我们下的断点,然后Ctrl+f9一层一层返回,每次返回的CALL都下个断点,然后让游戏跑起来,跑起来后我们再选怪,对断下的地方进行分析




进游戏后 使用bp ws2_32.send下段,然后选怪,可以看到,立马就断下来了




断下来后,我们右键data参数,跳转到内存窗口https://bpsend.net/thread-99.htm




在内存窗口对这个内存首地址下断点,然后去游戏里面选怪




选怪后游戏立马又断下来,这时候我们跳到上一层,下断,再跳再下断,多下几个。然后让游戏跑起来,再选怪




然后断下来了,这就是选怪Call了。EAX就是怪物的ID,其他参数都可以获取到。这个Call就找到了


接下来是第二种方法:


为什么会产生这种方法呢?因为有的游戏发包太频繁了,你下好硬件断点后根本来不及操作就被游戏断点断下来了,所以不得已使用这种方法。


前面都是一样,下send断,然后对send的data参数下硬件断,这里会发现它一直断,不管你有没有做动作都一直断




这就有点烦,不好继续找,不要着急,我们来看看上面说的线程发包的流程


Thread1:游戏某功能-->组包-->加密-->写缓冲区


Thread1:死循环->读缓冲区是否有内容->发送


比方说你是游戏的程序员,你要实现组包,或者加密的时候如果是以下代码:




......


......


......


组包\加密


......


......


......



你是会把它们封装成一个函数还是把这段代码到处复制?应该是封装一个函数方便一点吧?


既然是这样,那就说明,你往数据缓冲区写包数据的时候之前肯定会调用某个公共函数,那我们只要分析硬件断点断下来的时候堆栈里面有没有公共函数就行了,然后我们去最外层的公共函数分析。我们下好硬件断点,然后分析一下有没有公共调用。






010ee852这个地址2个不同的包都调用了,说明这个有可能是公共函数。我们去这个函数下个断试试。




这个地址断是断下来了,可是比较频繁,但是根据观察 esp+8的值一直都在变动,我们下条件断点,过滤掉我们没有做动作就断下来的




设置好条件断点后 去游戏选怪,发现立马断下来了




然后我们Ctrl+f9往上一层跟,没跟几层发现一个似曾相识的函数




怎么样 简单吧!
												


											
x86游戏逆向之实战游戏线程发包与普通发包的逆向的更多相关文章
	

    
						
  1. DirectX12 3D 游戏开发与实战第八章内容(下)
		
    DirectX12 3D 游戏开发与实战第八章内容(下) 8.9.材质的实现 下面是材质结构体的部分代码: // 简单的结构体来表示我们所演示的材料 struct Material { // 材质唯一 ...
    
		
    2. 
						
  2. 【读书笔记《Android游戏编程之从零开始》】20.游戏开发基础(游戏数据存储)
		
    对于数据的存储,Android 提供了4种保存方式. (1)SharedPreference 此方法适用于简单数据的保持,文如其名,属于配置性质的保存,不适合比较大的情况,默认存放在手机内存里 (2) ...
    
		
    3. 
						
  3. 【读书笔记《Android游戏编程之从零开始》】19.游戏开发基础(游戏音乐与音效)
		
    在一款游戏中,除了华丽的界面 UI 直接吸引玩家外,另外重要的就是游戏的背景音乐与音效:合适的背景音乐以及精彩的音效搭配会令整个游戏上升一个档次. 在 Android 中.常用于播放游戏背景音乐的类是 ...
    
		
    4. 
						
  4. Unity 4.2.0 官方最新破解版(Unity3D 最新破解版,3D游戏开发工具和游戏引擎套件)
		
    Unity是一款跨平台的游戏开发工具,从一开始就被设计成易于使用的产品.作为一个完全集成的专业级应用,Unity还包含了价值数百万美元的功能强大的游戏引擎.Unity作为一个游戏开发工具,它的设计主旨 ...
    
		
    5. 
						
  5. 【逆向&编程实战】Metasploit中的安卓载荷凭什么吊打SpyNote成为安卓端最强远控
		
    文章作者:MG1937 QQ:3496925334 CNBLOG:ALDYS4 未经许可,禁止转载 前言 说起SpyNote大家自然不陌生,这款恶意远控软件被利用在各种攻击场景中 甚至是最近也捕获到了 ...
    
		
    6. 
						
  6. 地图四叉树一般用在GIS中,在游戏寻路中2D游戏中一般用2维数组就够了
		
    地图四叉树一般用在GIS中,在游戏寻路中2D游戏中一般用2维数组就够了 四叉树对于区域查询,效率比较高. 原理图
    
		
    7. 
						
  7. 丢沙包游戏(或杀人游戏)的C语言实现
		
    丢沙包游戏(或杀人游戏)用C语言实现: 游戏简述: 杀人游戏(或者丢沙包游戏),设定一些人(人数为:num)一起玩游戏,从某个指定的人(设定为:start)开始轮流扔沙包,扔沙包人的下一个人为1,每隔 ...
    
		
    8. 
						
  8. 使用cocos2d 2.1制作一条河游戏(4): 主要的游戏逻辑BaseLayer设计
		
    前段时间一直忙着.没有时间更新博客.今天,仍然需要一段时间才能实现对游戏的一小部分,最后打动他. BaseLayer.h: #import <GameKit/GameKit.h> #imp ...
    
		
    9. 
						
  9. python小练习:使用循环和函数实现一个摇骰子小游戏。游戏规则如下:游戏开始,首先玩家选择Big or Small(押大小),选择完成后开始摇三个骰子,计算总值,11<=总值<=18为“大”,3<=总值<=10为“小”。然后告诉玩家猜对或者是猜错的结果。
		
    python小练习:使用循环和函数实现一个摇骰子小游戏.游戏规则如下:游戏开始,首先玩家选择Big or Small(押大小),选择完成后开始摇三个骰子,计算总值,11<=总值<=18为“ ...
    
		
    10. 
						
  10. Unity 2D游戏开发教程之游戏精灵的开火状态
		
    Unity 2D游戏开发教程之游戏精灵的开火状态 精灵的开火状态 “开火”就是发射子弹的意思,在战争类型的电影或者电视剧中,主角们就爱这么说!本节打算为精灵添加发射子弹的能力.因为本游戏在后面会引入敌 ...
    
		
    11. 
		

	


随机推荐
	

    
									
  1. SG定理
			
    先放一个 SG 函数的定义和 SG 定理 SG 函数: \(SG(p) = \text{mex}\ {SG(t)}\) SG 定理: \(\forall n\) 个独立的子图若 \(SG(1)\ \o ...
    
			
    2. 
						
  2. win7系统安装mysql新建数据库/数据表及故障处理,安装mysql后net start mysql服务无法启动
			
    问题描述:win7系统安装mysql,安装mysql后net start mysql服务无法启动 1.下载mysql: 官网地址:https://dev.mysql.com/downloads/mys ...
    
			
    3. 
						
  3. deepseek:以php为例,获取令牌后下一步处理步骤
			
    在 PHP 中,获取到 Bearer Token 后,下一步通常是验证令牌的有效性,并根据令牌中的信息处理请求.以下是详细的步骤和代码示例: 1. 获取 Authorization 头中的令牌 首先, ...
    
			
    4. 
						
  4. c# virtual 关键字 虚方法
			
    1.简单的说,虚方法就是可以被子类重写的方法,如果子类重写了虚方法,那么运行时将使用重写后的逻辑,如果没有重写,则使用父类中虚方法的逻辑 class Program { static void Mai ...
    
			
    5. 
						
  5. C# .net 压缩文件解压上传及文件压缩下载
			
    using ICSharpCode.SharpZipLib.Zip; using System; using System.Collections.Generic; using System.IO;  ...
    
			
    6. 
						
  6. MS17_010漏洞利用,渗透win7,拿到桌面的flag
			
    关于使用MS17_010来攻击WIN7: 我们先ping一下win7的ip看看是否可以ping通(ping不通的可以关闭win7的防火墙),然后我们用nmap扫一下看看靶机有什么漏洞 nmap --s ...
    
			
    7. 
						
  7. 谷歌 Chrome 浏览器离线安装 vue devtools 插件
			
    由于某些原因,Chrome 应用商店访问不了,所以只能离线安装 vue devtools 插件,离线安装也有两种方法. 方法一:自编译 vue devtools 插件 这方法要求动手能力强的同学. 前 ...
    
			
    8. 
						
  8. 基础命令:dd、tar、ln、find、逻辑符号、alisa别名、md5sun校验、lrzsz文件上传下载、wget
			
    目录 3.0 dd读取.转换并输出数据 3.1 压缩 (tar.zip).解压缩(tar xf.unzip) 3.2 ln软硬链接 3.2.1 软链接: 3.2.2 硬链接: 3.3 find文件查找 ...
    
			
    9. 
						
  9. Linux下查询tomcat进程命令
			
    由于查询tomcat进程时将ps -ef|grep tomcat命令记错为ps -f|grep tomcat命令,因此对比两个命令进行区分. ps -f |grep tomcat执行结果: dgztc ...
    
			
    10. 
						
  10. kvm内存优化--KSM
			
    一.KSM(Kernel SamePage Merging) 1.KSM简介 KSM允许内核在多个进程(包括虚拟机)之间共享完全相同的内存页,KSM让内核扫描检查正在运行中的程序并且比较他们的内存,若 ...
    
			
    11.