[游戏XX讨论]谈谈最近GX游戏_聊天交友&心情咖啡

ZxID：54336543

举报只看楼主使用道具楼主发表于: 2014-06-05 0

本帖最后由 sounkawp 于 2014-6-5 22:12 编辑

免责声明：本文章纯娱乐性讨论，并无任何商业用途。

谈谈最近的GX游戏，最近自己业余时间分析了下，最近有几个游戏通过验证hmac码的方式来碰撞是否正版购买用户。所以很多此类游戏无法分享。
我们知道。Hmac码是单向加密机制。需要秘钥和报文。以下是我通过度娘找到的一些资料。仅供参考。

HMAC

HMAC是密钥相关的哈希运算消息认证码（Hash-based Message Authentication Code）,HMAC运算利用哈希算法，以一个密钥和一个消息为输入，生成一个消息摘要作为输出。

1
简介
运算作用（1）验证TPM接受的授权数据和认证数据；
（2）确认TPM接受到的命令请求是已授权的请求，并且，命令在传送的过程中没有被改动过。　
定义HMAC需要一个加密用散列函数（表示为H，可以是MD5或者SHA-1）和一个密钥K。我们用B来表示数据块的字节数。（以上所提到的散列函数的分割数据块字长B=64），用L来表示散列函数的输出数据字节数（MD5中L=16,SHA-1中L=20）。鉴别密钥的长度可以是小于等于数据块字长的任何正整数值。应用程序中使用的密钥长度若是比B大，则首先用使用散列函数H作用于它，然后用H输出的L长度字符串作为在HMAC中实际使用的密钥。一般情况下，推荐的最小密钥K长度是L个字节。
算法表示算法公式： HMAC（K，M）=H（K⊕opad∣H（K⊕ipad∣M））
H 代表所采用的HASH算法(如SHA-256)
K 代表认证密码
Ko 代表HASH算法的密文
M 代表一个消息输入
　　
B 代表H中所处理的块大小，这个大小是处理块大小，而不是输出hash的大小
如，SHA-1和SHA-256 B = 64
SHA-384和SHA-512 B = 128
L 表示hash的大小
Opad 用0x5c重复B次
Ipad 用0x36重复B次
Apad 用0x878FE1F3重复(L/4)次
HMAC运算步骤First-Hash = H(Ko XOR Ipad || (data to auth)) Second-Hash = H(Ko XOR Opad || First-Hash)　(1) 在密钥K后面添加0来创建一个字长为B的字符串。(例如，如果K的字长是20
字节，B=64字节，则K后会加入44个零字节0x00)
(2) 将上一步生成的B字长的字符串与ipad做异或运算。
(3) 将数据流text填充至第二步的结果字符串中。
(4) 用H作用于第三步生成的数据流。
(5) 将第一步生成的B字长字符串与opad做异或运算。
(6) 再将第四步的结果填充进第五步的结果中。
(7) 用H作用于第六步生成的数据流，输出最终结果

2
典型应用编辑HMAC的一个典型应用是用在“挑战/响应”（Challenge/Response）身份认证中。
认证流程(1) 先由客户端向服务器发出一个验证请求。
(2) 服务器接到此请求后生成一个随机数并通过网络传输给客户端（此为挑战）。
(3) 客户端将收到的随机数提供给ePass，由ePass使用该随机数与存储在ePass中的密钥进行HMAC-MD5运算并得到一个结果作为认证证据传给服务器（此为响应）。
(4) 与此同时，服务器也使用该随机数与存储在服务器数据库中的该客户密钥进行HMAC-MD5运算，如果服务器的运算结果与客户端传回的响应结果相同，则认为客户端是一个合法用户
安全性浅析由上面的介绍，我们可以看出，HMAC算法更象是一种加密算法，它引入了密钥，其安全性已经不完全依赖于所使用的HASH算法，安全性主要有以下几点保证：
（1）使用的密钥是双方事先约定的，第三方不可能知道。由3.2介绍的应用流程可以看出，作为非法截获信息的第三方，能够得到的信息只有作为“挑战”的随机数和作为“响应”的HMAC结果，无法根据这两个数据推算出密钥。由于不知道密钥，所以无法仿造出一致的响应。

但是针对此类密码也不是绝对无解的。

和我朋友交流了下。此类问题一、可以通过暴力破解实现解密。二、通过猜测实现破解（大多数HACK采用的方式）。
还有要注意的。就是如果密码采用加严方式的话只有祈求上天了。这类密码破解相当有难度。最后如果它再加个混淆。呵呵。就阿门吧。

此文章纯属娱乐。

[ 此帖被在2014-10-11 22:06重新编辑 ]

打赏收藏新鲜事

回复引用

鲜花[0]　

鸡蛋[0]

xuyiqingxyz

ZxID：54383791

等级: 上士

举报只看该作者沙发发表于: 2014-06-05 0

这就是目前大鱼游戏所采用的新的加密机制。由于无法获得密钥，所以各位玩家的客户端无法获得服务器端的合法认证，游戏既始终无法解锁！

回复引用

鲜花[0]　

鸡蛋[0]

king0246_tuzi

ZxID：54427901

等级: 大尉

举报只看该作者板凳发表于: 2014-06-05 0

本帖最后由 king0246 于 2014-6-5 21:27 编辑

第一，敢定义下啥叫GX游戏不？我百度了下没个正经回答。
第二，图掉了。楼主敢用点心自己截下图不？还有广告图在其中。速度编辑下删掉！
第三，水区啊。老大！也敢回复可见？以后不要了。

看在帖子有些技术含量速度补上定义。这得楼主自己找了！