這個外掛一般人不敢下手
在無意間從網絡上獲取到一款付費的遊戲黑產外掛樣本,並且該外掛號稱可以無視遊戲客户端的反外掛檢測功能。 好奇的心就不由自主的將外掛樣本下載下來,並丟進虛擬機環境嘗試學習下強大的外掛功能。
從文件上看起來這個外掛是個正常的應用程序(竟然dll都沒有),接下來就是觀察下這個外掛的行為,就出現了下面誅心的對話框展示。
看完前面這兩個對話框及文字,讓我內心久久不能平靜,現在這遊戲黑產外掛都開始都這強大了嗎?都開始採用 技術+心理戰 策略了嗎?
瑟瑟發抖過後,下面就分析學習下這個外掛的技術功能。
不是破解哦,我付費買了個授權卡號哦。不是破解哦,我也不會破解技術!
基本分析
對這個樣本的基本分析:
1、分析樣本是否採用第三方加殼軟件進行加殼;
2、分析樣本的依賴模塊有哪些;
3、用進程監控工具分析樣本的運行數據行為。
從上圖中可以看到該樣本的 區段增加了一個vmp0的區段名稱 ,這就説明該樣本有用到vmp殼的功能進行對樣本的代碼或數據進行做保護。
從上圖中,該樣本的主要依賴模塊主要是系統的模塊,沒有依賴第三方的模塊,那麼這個外掛的所有功能都是集中在這個應用程序中。
從上圖中,該樣本還掛鈎RegisterClassA函數,這個函數主要通過註冊窗口類的功能,也就是改變這個樣本這個MFC開發的應用程序窗口信息以及替換對話框資源信息用的。
網絡驗證分析
由於所購買的卡號已到期,那麼接下來就學習分析下這個卡號授權的驗證方式。對於分析這種授權方式,在遊戲黑產外掛中大部分都是採用的是市面上現成的網絡驗證(其實也有外掛作者自己寫網絡驗證的 )。
個人覺得外掛採用市面的網絡驗證主要兩個因素:外掛作者主要的精力還是在外掛功能實現上;外掛作者的技術能力儲備不足。
所以接下來先對樣本確認,採用了市面那款網絡驗證(收費還是定製),然後才能高效的對這個網絡驗證進行做分析。
對於這種授權方式的驗證方式,最直接的就是要麼靜態的分析(IDA工具)要麼動態分析(ollydbg工具)的 字符串信息 ,然後通過字符串信息進行慢慢調試跟蹤分析。要麼就是通過分析 網絡行為 然後進行通過 關鍵函數下斷點 跟蹤分析。
從上圖中可以看到關鍵字 驗證_天之盾,這個就是這個樣本所採用的第三方網絡驗證。這個 天之盾的網絡驗證 ,就是天盾網絡驗證的定製版本。
上圖就是這個天盾網絡驗證的一些公開視頻截圖, 這裏突然起了一句話,打敗對手的最好招式,就是了解對手的招式然後見招拆招。
下面就這個 天盾網絡驗證 做下梳理,天盾網絡是基於 中文編程易語言 開發的。
上圖就是該樣本所採用的授權卡方式驗證的關鍵代碼功能實現流程。
卡號授權 驗證的關鍵流程:
1.從配置文件上進行讀取授權卡號;
2.加載替換樣本中的皮膚;
3.進行網絡驗證初始化工作;
4.進行關鍵檢測;
5.進行網絡驗證。
上圖是天盾網絡驗證的服務端程序(這個網絡上可以下載到),可以看到這個卡號授權的功能還是非常強大的,還能試用、停封、分析卡號的在線量等等功能。
通過對以上的瞭解,我們此時對網絡驗證的分析就會比較有頭緒了,就可以針對這塊網絡驗證進行查閲相關資料然後進行做分析了。
針對這種網絡驗證的對抗思路:
(需要足夠的耐心)
1.通過抓包分析網絡通信包,然後進行對數據包分析做手腳進行驗證;
2.通過下斷點方式進行不斷調試,分析出網絡驗證的校驗函數或地址,並且在這過程中需要排除掉許許多多的暗樁。
外掛功能分析
在分析樣本過程中,運行着ollydbg工具和pchunter工具,在啟動外掛樣本,那麼會發現這個外掛樣本是無法啟動和啟動就崩潰的情況。
並針對這個樣本里面的關鍵代碼和數據,這個樣本有對這兩個工具做對抗的檢測操作。防止這個樣本的被調試分析和內存dump分析了。
分析下這個樣本程序外掛功能,這個樣本就是在啟動的時候進行做一次 系統快照 ,然後判斷下是有啟動這些分析工具,沒有運行就正常啟動了外掛, 所以不用過這個檢測 , 先把外掛啟動起來,在啟動調試分析工具那就可以開始分析之旅了。
下面就開始分析下這個外掛的對這遊戲做了那些手腳。
這個外掛的主要過保護功能:
1、將外掛樣本放到遊戲目錄中;
2、接着從這個外掛作者服務器上去下載其修改後的“過保護“的文件;
3、進行替換到遊戲目錄中;
4、替換後再進行啟動遊戲,這樣達到過掉遊戲檢測的思路。
這個作者確實很辛苦,把這個過保護的事情做的很細緻。
以上的全部只是個分析學習的過程,不是破解,我也不會破解!
遊戲黑灰產外掛,一直以來都是長期對抗過程,其中對外掛樣本的獲取和外掛樣本的分析,這個也是對抗過程中的一個很重要的事情。
遊戲中的外掛對抗是需要主動出擊和積極防守相結合的。積極防守的重要思路是研究透外掛樣本的功能和思路,然後對外掛樣本採取果斷的對抗策略。
對於外掛樣本其實可以有幾個點值得思考的。
外掛的開發方式:VB、C++、易語言、按鍵精靈、大漠插件等等
外掛的注入方式:遠程線程、鈎子注入、導入表注入、劫持注入等等
外掛的保護方式:網絡驗證、加殼、內部掛、QQ羣驗證等等。
外掛的檢測方式:特徵碼、文件信息、心跳包、關鍵函數等等。