DCOO迪酷作弊器的开发思路[2]_CSGO反恐精英

ZxID：1239671

H都说到这份上......你咋就这么不中用!

举报只看楼主使用道具楼主发表于: 2007-09-18 0

第二part：好了讨厌的codeXX死了，现在你可以活动自如了，但是你会发现人物在墙后面时看不到他的名字、距离等信息了，透视功能被屏蔽了！那么如何破解呢？我们想了想，透视功能主要是靠把墙绘制在人物名字距离等信息后面实现透视的，正常不作弊的情况下是把信息绘制在墙后面的所以看不到。知道原理后大胆猜测这个绘制函数的某个参数决定了绘制的是墙前或者是墙后，而这个墙前或者墙后无非在cpu里面是靠用0、1或者2、3等其他数值来表示的，所以将该参数传递给hl主程绘制函数的汇编语句就是push 0（1、2等），因此回到USAmimi对~bd1523.tmp模块搜索push 0，最后搜到10019a9处附近最像了，这时你把下面的call [10040a34] nop 掉然后返回cs进入DCOO服务器看看（不用担心防改被踢因为就看几秒钟，看完后改回就是了），嗯，有了变化，证明找对地方了，又返回USAmimi细看 call [10040a34]下面的语句发现有一个跳转判断JPE short 10019ce，如果跳转实现了就会执行xor eax,eax retn2条语句，如果跳转没有实现就执行xor eax,eax inc eax retn3条语句，它们的差别就在于inc eax这条语句（xor eax, eax意为将cpu的eax寄存器清零，inc eax意为将eax加1，retn是函数结束标志），所以我们可以肯定的说这个跳转就是实现屏蔽透视的关键，而跳转的主要功能就是使eax值为1或者0，从而大胆猜测DCOO反作弊就是靠这个0或者1来判断是否屏蔽透视的，我们可以将刚才的call [10040a34] nop掉后再把jpe short 100019ce的汇编码7a 04改为7b 04把跳转条件反过来，进入DCOO服务器看几秒（记得不要M6来看，要选队伍），嗯，透视了！恭喜，还差最后一步了——搞定防改。确切地说不是搞定而是巧妙地躲过。由于防改保护不让修改任何一个执行代码的字节，所以我们细心观察刚才的call [10040a34]，嗯，找到了，用USAmimi按前述方法查看10040a34这个地方的16进制数值看到一大片的01结尾的数据，和刚才作弊器模块看到的16进制数值很相似，这堆就是~bd1523.tmp需要用到的hl主程的函数起始地址了，而Microsoft定义的可执行文件（dll和 exe都是）格式和众多编译器包括VC++6.0如果在没有特殊处理过的情况下这些数据都是写在可执行文件的数据区段下的，而数据区肯定是可以改变数值的 ——因为程序自己正常运行时也需要修改数据区的数值以进行数据缓冲如果禁止修改程序就会崩溃，现在大家有些眉目了吧，我们只需要把10040a34这个地方原来的数值（比如70 58 d7 01）改为下面一些空档的位置（就是一片00000000了，比如选择10040b70处），然后在这个位置写入任何你像写的代码，那么不就可以同时 nop掉call [10040a34]所真正call到的70 58 d7 01而转为执行我们的任意代码了吗——一箭双雕是不是很爽？这时我们跟着就按前述方法把10040a34处的数值改为70 0b 04 10即10040b70然后再从10040b70处开始写我们自己的代码，这部分代码需要完成的功能是把eax清零再加1平衡堆栈和返回即汇编码为xor eax,eax inc eax add esp,18 retn，这句 add esp,18 是怎么来的呢，USAmimi回看~bd1523.tmp刚才call [10040a34] 下面有句add esp,14，用SoftICE在此处埋个断点回到游戏玩玩断电被触发SoftICE弹出你会发现在没有改call [10040a34]中的10040a34处的数值70 58 d7 01为70 0b 04 10之前esp寄存器的数值比改了10040a34处数值后的值要大了4，所以我们需要将原来的add esp,14变成add esp,18否则将会使程序崩溃，因为最后一句retn其实就相当于按照当时esp寄存器所存放的数值为地址进行jmp即跳转，所以如果esp不＋4的话将会使这个跳转发生错误而导致程序崩溃，因此这里是一个关键业界称作平衡堆栈，日常生活中程序被改了之后一闪就退出表明堆栈平衡出了问题。因为 USAmimi不可以直接输入汇编码对相关指令进行修改，所以我们现在需要SoftICE的帮忙（当然如果你对机器码极为熟悉也可以直接在USAmimi 里面以10040b70为起点写机器码33c04083c418c3实现xor eax,eax inc eax add esp,18 retn这4条语句），回到cs中，按Ctrl＋D键呼出SoftICE，输入a10040b70（意为从10040b70处开始编辑汇编语句），输入 xor eax,eax回车，输入inc eax回车，输入add esp,18回车，输入ret回车，按esc键退出编辑状态，输入u10040b70（意为看10040b70处的汇编码）看看刚才的编辑效果吧。好了至此codeXX和透视都修改好了，进入DCOO服务器你又发现回到了未来。小tips：反作弊器和作弊器其实都是一个类别，都是索取hl主程所传递的信息任何修改再返回利用hl主程输出它们想要得到的效果，就像一颗毒瘤或者寄生虫一样，或者有些人喜欢叫这个为Hook钩子，作弊器想作弊，反作弊器就拦路打劫，然后我们反反作弊又绑架反作弊。
第三part：我们不想每次都这样用USAmimi、SoftICE等搞一大通（当然知道了要改的地方和数值后用FPE2001也是一个不错的选择而且大众化网上传.fpe文件也很小很快缺点是可能不是每台机器都可以用因为地址在不同的机器可能会不相同但对同一台机器基本是不变），所以就需要VC＋＋ 6.0来帮忙了，大家不用看见编程就害怕，其实也没有什么难度的。源代码已经在附件，有详细的说明。如果想知道函数的详细信息可以上Microsoft的 MSDN图书馆http://msdn.microsoft.com/library/default.asp?url=/library/en-us在左上角的search for框中输入函数名称搜索就行了。有些代码我是参考ImportREC源码的，由于我不是计算机专业出身所以代码可能有些笨拙但条理还算清晰大家自行优化一下吧。再懒一点的可以用进程补丁机Process Patcher V4.13来编个脚本自动运行，它自己的说明很详细这里不多说。 _"#V}c{第四part：用VC++6.0做好补丁程序之后，我们如果不想让人知道是对作弊器的DLL文件和~bd1523.tmp打补丁的话需要对对两个文件在 exe文件数据区段的名字进行在程序当中动态解码解码后马上再清除掉留在堆栈中的痕迹。打开OLLyDBG，按Ctrl＋D键选择补丁程序exe文件，右键汇编码－>超级字串参考＋—>查找ASCII，在弹出的窗口中双击作弊器DLL文件名或者~bd1523.tmp文件名，就会来到一个 push命令处，就是这里了，记下最左边列的0040打头的地址值。我们需要在exe文件中找一处空白的地方即一连串00来填写我们动态解码的指令，可以这样来找，在OLLyDBG中左键单击汇编码，按Ctrl＋B键，输入随便一串00，输得越多找到的空档也越大但是不可以输太多00因为exe文件的空位通常很有限，找到后记下这个地址（汇编码最左边一列以0040打头的数值），回到刚才push指令处左键单击它，按空格键，输入jmp XXXXXXXX（XXXXXXXX 代表刚才记下的找到的空档处的地址意为跳到这里执行我们自己准备写的动态解码语句）回车，再记下这个jmp的下面的push ecx 和call语句还有call语句的下一行代码地址，准备写解码部分和从我们自己写的代码处返回，然后按Ctrl＋G键输入刚才找到的空档位地址数值回车来到空档处开始写我们自己的解码代码，我们准备用最简单快捷的xor异或指令来解码，首先将需待解码的字符串以4个字节为单位进行划分，比如 ~bd1523.tmp就划分为~bd1 523. tmpNull（Null表示以空结尾其相应的ACSII码为00）然后对这些字符逐个查其ACSII码，找到是7e 62 64 31 35 32 33 2e 74 6d 70 00，然后按Ctrl＋D键呼出SoftICE输入命令?7e626431^ffffffff（？表示做以下运算，^表示异或运算，ffffffff＝- 1，意为与-1做异或运算）回车，就看到输出结果了，然后依次对35 32 33 2e 和74 6d 70 00做异或，记下3个结果（它们依次是81 9d 9b ce ca cd cc d1 8b 92 9f ff），按Ctrl+D键关闭SoftICE窗口，返回OLLyDBG，由于堆栈是先进后出的所以从最后一个结果开始写起，按Ctrl＋E键（记得将保留大小的钩去掉）输入b88b928fff（b8表示mov eax,XXXXXXXX指令请不要用按空格键的编辑状态来写这个mov语句这样会容易出错如果要写就倒过来写写成MOV EAX,FF8F928B才是正确的语句）回车，左键单击下一条语句按空格键输入xor eax,-1回车输入push eax（意为准备利用堆栈空间来动态解码字符串~bd1523.tmp），到此3句汇编语句就可以把tmpNull字符串压入堆栈中了，然后再左键单击下一行按Ctrl＋E键输入b8cacdccd1回车，左键单击下一行键盘输入xor eax,-1回车，输入push eax回车，左键单击下一行按Ctrl＋E键输入b88b928fff回车，左键单击下一行键盘输入xor eax,-1回车，输入push eax回车，输入push esp（意为把esp指针指向压入了堆栈中~bd1523.tmp字符串），输入push ecx回车输入call 403b20回车（意为补上原来的2条指令），下面就是抹除堆栈中的~bd1523.tmp字符串以毁尸灭迹，由于刚才把~bd1523.tmp相对应的 16进制数值压入了堆栈占用了12个字节即Byte，push esp指令又把指向这个堆栈中的~bd1523.tmp字符串的指针压入了堆栈就又占了4个Byte，所以总共比没有解码时多占用了16个Bytes，所以就要将call指令之后的esp+8 esp+c 和 esp+10 3处的堆栈清零，于是接着刚才的push esp指令左键单击其下一行键盘输入AND DWORD PTR[ESP+8],0（意为把esp+8处与0作逻辑与运算，所有与0作逻辑与运算的结果都是0，所以功能就是清零）回车，输入AND DWORD PTR[ESP+C],0回车，输入AND DWORD PTR[ESP+10],0回车，输入add esp,c（平衡堆栈——因为原程序是没有把~bd1523.tmp压入堆栈的而我们现在为了解码把esp堆栈指针往上移了0xc个字节所以需要把esp 往下反移0xc个字节而往下移动是用ADD加法的）好了动态解码部分写好后就需要用一个jmp XXXXXXXX语句跳回刚才跳到空档处语句的call语句的下一条语句了（这个XXXXXXXX是前面我要大家记下的）。如此一个简陋的动态解码总算完成了，有个规则就是尽量使用那些原来程序运行到这个解码部分附近语句时空闲的寄存器作为异或运算时的寄存器这样做可以尽量避免破坏原程序，所以虽然代码是笨拙了点但是容易理解用到的寄存器又少对原程序没有造成任何影响因此还是比较合理的。当然也可以学习Acprotect的动态解码语句：解码为 mov esi,ebx mov edi,ebx lods byte ptr[esi] rol al,3 stos byte ptr[edi] cmp byte ptr[edi],0 jnz short XXXXXXXX 其相对应的机器码为8bf38bfbacc0c003aa803f0075XX（明显地它的解码机器码比我的少但是缺点是用到了大量的寄存器而且语句比较难消化理解），它的抹除证据的语句是sub eax,eax mov byte prt[ebx],al inc ebx cmp byte ptr[ebx],al jnz short XXXXXXXX，其对应的机器码为2bc0880343380375XX（也是很简短，那么利弊得失自己选择吧，反正可以与原程序的寄存器和堆栈相平衡就怎么解码都行）。 ICD# RY &