亚洲精品卡2卡3卡4卡5卡区,中文有码亚洲制服av片,亚洲国产成人久久一区久久

Phrancol Yang — Sat, 07 Jun 2008 02:20:00 GMT

摘要: 在上一��的跟踪中，调试后发��C��ơ加密的密匙其实��是一个常�?08B480C�Q�分析一下整个二�ơ加密的�q�程�Q�以下代码均在VC6.0中运行通过�Q�加密后数据与客��L��实际发送数据一致�? 函数1 - _declspec(naked) void _stdcall getEncryptMsg(long *nIdentity, char * dest) nIdentity - 008B480C ... 阅读全文

Phrancol Yang 2008-06-07 10:20 发表评论

[原]MIR3G二次加解密反汇编分析�Q�三�Q�——跟�t?

Phrancol Yang — Sun, 01 Jun 2008 12:12:00 GMT

�Ҏ��3EF扑ֈ�生成命��o体的函数�Q�该函数只有一个参数——消息体�Q��{��C��一个函数得��C��下代�?/p>

push    1FFF           ;1FFF入栈
lea     eax, dword ptr [esp+CAC] ;(3244) 距离栈顶811个存储单�?
push    eax            ;eax入栈解密后要存入的地址入栈
add     edi, 10        ;edi=从字�W�串�W?7个字节开始往后的�?br /> push    edi            ;密文入栈
call    004A0BD0       ;跟进发现�q�是普通的一�ơ解密，解密后数据存在esp+CAC�?
mov     byte ptr [esp+eax+CA8], 0
xor     eax, eax
mov     ecx, 100       ;ecx=100 (256) 循环�ơ数
lea     edi, dword ptr [esp+3F8]   ;edi
rep     stos dword ptr es:[edi]    ;
lea     ecx, dword ptr [esp+3F8]
push    ecx
lea     edx, dword ptr [ebx+3CD864]
push    edx
mov     ecx, ebx
call    0042C440                   ;二次解密�Q�生成回复密�?br /> lea     eax, dword ptr [esp+3F8]
push    eax
mov     ecx, 004D5C70
call    0049F770        ;调用messageSend(char* msg)
lea     eax, dword ptr [esp+CA8]
lea     edx, dword ptr [eax+1]
L023:
mov     cl, byte ptr [eax]
inc     eax
test    cl, cl
jnz L023
sub     eax, edx
cmp     eax, 3C
jnz     0043BF9D
mov     ecx, dword ptr [esp+CA8]
mov     edx, dword ptr [esp+CAC]
mov     eax, dword ptr [esp+CB0]
mov     dword ptr [esp+38], ecx
mov     ecx, dword ptr [esp+CB4]
mov     dword ptr [esp+44], ecx
mov     ecx, dword ptr [esp+CC0]
mov     dword ptr [esp+3C], edx
mov     edx, dword ptr [esp+CB8]
mov     dword ptr [esp+40], eax
mov     eax, dword ptr [esp+CBC]
mov     dword ptr [esp+54], ecx
mov     ecx, dword ptr [esp+CCC]
mov     dword ptr [esp+48], edx
mov     edx, dword ptr [esp+CC4]
mov     dword ptr [esp+50], eax
mov     eax, dword ptr [esp+CC8]
mov     dword ptr [esp+60], ecx
mov     ecx, dword ptr [esp+CD8]
mov     dword ptr [esp+58], edx
mov     edx, dword ptr [esp+CD0]
mov     dword ptr [esp+5C], eax
mov     eax, dword ptr [esp+CD4]
mov     dword ptr [esp+24], ecx
lea     ecx, dword ptr [esp+1C]
mov     dword ptr [esp+1C], edx
mov     edx, dword ptr [esp+CDC]
mov     dword ptr [esp+20], eax
mov     eax, dword ptr [esp+CE0]
push    ecx
mov     ecx, ebx
mov     byte ptr [esp+50], 0
mov     byte ptr [esp+68], 0
mov     dword ptr [esp+2C], edx
mov     dword ptr [esp+30], eax
mov     byte ptr [esp+34], 0
call    0042BD60
lea     edx, dword ptr [esp+38]
push    edx
mov     ecx, ebx
mov     byte ptr [ebx+49B160], al
mov     byte ptr [ebx+49B161], ah
call    0042BD60
mov     word ptr [ebx+49B162], ax
lea     eax, dword ptr [esp+50]
push    eax
mov     ecx, ebx
call    0042BD60
mov     word ptr [ebx+49B164], ax
mov     ecx, dword ptr [esp+54AC]
mov     dword ptr fs:[0], ecx
pop     edi
pop     esi
pop     ebx
mov     esp, ebp
pop     ebp
retn    4

分析以上代码可以��单得��Z��下结�?br /> 1. 从call 004A0BD0 的调用可以简单分析出二次密文可能也是标准消息�l�构
2. 通过�Ҏ��未更新版本与最新版本对3EF的发送情况，未更新版本发�?EF�Ӟ��消息体是�I�，命��o体其他参��C��?�Q�再�l�分析，
未更新的版本�?EF其实��是割肉的命�?..........
最新版本的客户端收��C��ơ密文后�Q�经�q�一些处理，�?EF为命令发向服务器
3. 从add edi, 10可以猜测�Q�二�ơ密文的命��o体可能是�q�h��人用�?br /> 4. 从call 0049F770�q�个调用断定 esp+3F8 ��是二次解密后的明文
5. 对于call 0042C440�q�个调用�Q�可以猜��，�q�个��是二次解密的函�?br /> 6. 服务器发来的密文对于本次解密是没有媄响的�Q�只是对它进行了一些操作，生成�?个数�q�进行如下保�?br /> mov     byte ptr [ebx+49B160], al
mov     byte ptr [ebx+49B161], ah
mov     word ptr [ebx+49B162], ax
mov     word ptr [ebx+49B164], ax
7. 二次解密函数�?个参�? arg1 = dword ptr [ebx+3CD864] , arg2 = [esp+3F8]
   也就是根据dword ptr [ebx+3CD864]来生成解密明文，�q�存入地址esp+3F8�Q�于是ebx+3CD864��成了解密的关键

Phrancol Yang 2008-06-01 20:12 发表评论

Phrancol Yang — Sun, 01 Jun 2008 02:48:00 GMT

数据发送接收情�?
........客户端与Gateserver,Loginserver的数据互换，省略
1. 客户端向Gameserver发送[**��d��用户�?角色�?验证�?/验证�?/版本验证�?1/0]
2. Gameserver向客��L��发送密文，�c�M��#eLrBHMNxRmleJ_l{PAMHQ?pUCpdbENaJptK!
3. 客户端向Gameserver发送解密后密文�Q�类�?3<<<<xZCNLSHoPpAnQRF?ljIaaUPmlSF^L_BmtfFODJA_X\\A]T`GNlq@L!
........�Ƣ迎信息�Q�装备信息等省略

数据格式
[#][标识位][指��o头][消息体][!]
例如 #3<<<<

命��o�l�构�?br /> typedef struct tag_TDEFAULTMESSAGE
{
    int     nRecog;
    WORD    wIdent; 3EF
    WORD    wParam;
    WORD    wTag;
    WORD    wSeries;
} _TDEFAULTMESSAGE, *_LPTDEFAULTMESSAGE;

解密命��o�?lt;<<< >>Method1(未知参数)
push    esi
push    edi
push    0
push    0
push    0
push    0
mov     esi, ecx
push    3EF
lea     edi, dword ptr [esi+18] ;esi+18 是命令结构体的首地址
push    edi         ;命��o�l�构体首地址
call    004A0D00    ;生成命��o�l�构�?(edi,3ef,0,0,0,0)
mov     eax, dword ptr [esp+C] ; eax保存�W�一个参�?br /> push    0
push    eax
push    edi
mov     ecx, esi    ;传递this指针�Q?br /> call    0049E450    ;发送数据，arg3: 0, arg2: �W�一个参�? arg1: 命��o�l�构�?br /> pop     edi
pop     esi
retn    4

��单分析，入栈�?�?�?EF,则对应结构体,该函数至��?个参敎ͼ�目前不知�q�个参数是什么意思，跟进0049E450看看
>>Method2(命��o�l�构�?未知参数,0)
mov     eax, dword ptr [esp+4] ;eax=命��o�l�构�?br /> push    ebx
push    ebp
push    esi
mov     esi, ecx                ;得到this指针
push    20
lea     ebp, dword ptr [esi+24] ;esi+18是命令结构体�Q�加密命令结构体得到的字�W�串保存在esi+24�?br /> push    ebp
push    eax
call    004A0CA0                ;跟进发现是加密命令结构体,arg3: 20(32), arg2: esi+24, arg1: 命��o�l�构体地址
mov     eax, dword ptr [esi+14] ;eax=esi+14=标识�?br /> cmp     eax, 9
jl L015                         ;如果标识位小�?�Q�则跛_��L015
mov     dword ptr [esi+14], 1   ;否则标识位重设�ؓ1
jmp L017
L015:
inc     eax
mov     dword ptr [esi+14], eax ;标识位自�?
L017:
mov     edx, dword ptr [esp+14] ;edx=�W?个参�?br /> test    edx, edx                ;
je L048                         ;如果�W?个参��Cؓ0�Q�则跌��{到L048
mov     eax, dword ptr [esp+18] ;eax=�W?个参�? 0
test    eax, eax
push    edi
jnz L031                        ;eax不等�?则蟩�?br /> mov     eax, edx                ;eax=�W?个参�?br /> lea     edi, dword ptr [eax+1]
L026:
mov     cl, byte ptr [eax]      ;cl=�W?个参数第1个字�?br /> inc     eax                     ;eax
test    cl, cl                  ;循环得到�W�一个参数的长度
jnz L026                        ;没到字符串尾则��l��@�?br /> sub     eax, edi
L031:
push    2000
push    eax
lea     edi, dword ptr [esi+44]
push    edi
push    edx
call    004A0B10                ;调用加密函数�Q�将edx加密�Q�保存在esi+44�?br /> mov     ecx, dword ptr [esi+14]
push    edi
push    ebp
push    ecx
lea     ebx, dword ptr [esi+2044]
push    004CBFE4                 ; #%d%s%s!
push    ebx
call    004BB568
add     esp, 14
pop     edi
jmp L056
L048:
mov     edx, dword ptr [esi+14]
push    ebp
push    edx
lea     ebx, dword ptr [esi+2044]
push    004CBFC4                   ; #%d%s!
push    ebx
call    004BB568                   ;sprintf 格式化发送给服务器端的数�?br /> add     esp, 10
L056:
mov     eax, ebx
lea     edx, dword ptr [eax+1]
L058:
mov     cl, byte ptr [eax]
inc     eax                        ;�q�个循环得到数据长度
test    cl, cl
jnz L058
push    0
sub     eax, edx
push    eax                        ; 数据长度
mov     eax, dword ptr [esi+6044]
push    ebx                 ; Data �Q�要发送的数据
push    eax                 ; Socket对象
call       ;�q�里是调用send(Socket对象, 要发送的数据, 数据长度, 0 (flag));
pop     esi
pop     ebp
pop     ebx
retn    0C

L017和L031说明Method1和Method2中的未知参数��是明文消息体，Method1只有1个消息体参数

Phrancol Yang 2008-06-01 10:48 发表评论

Phrancol Yang — Fri, 30 May 2008 08:34:00 GMT

�H�击了一个星期的汇编�Q�再对照民间��传的传奇源�?C++版本)�Q�基本摸清了�q�部分的代码

OD打开Mir3.exe(Mir3G_20070108) -> ASCII ->扑ֈ�**%s/%s/%d/%d/%d/1/%d->双击�Q�得到如下代�?/p>

�q�段代码是将几个参数�Q��用sprintf生成字符�Ԍ��然后6BIT加密�Q�以#%d%s!格式发送到服务器端
0049E2D0 mov     eax, dword ptr [esp+14]          ; eax=arg5�Q�第5个参敎ͼ�
0049E2D4 sub     esp, 600                                    ; 预留1536个存储单�?br /> 0049E2DA push    esi
0049E2DB push    edi
0049E2DC mov     edi, dword ptr [<&USER32.wsprint>; USER32.wsprintfA
0049E2E2 push    eax                              ; /<%d>      ;eax入栈
**%s/%s/%d/%d/%d/1/arg5
0049E2E3 mov     eax, dword ptr [esp+618]         ; | eax = arg3
0049E2EA mov     esi, ecx                         ; |
0049E2EC mov     ecx, dword ptr [esp+61C]         ; | ecx = arg4
0049E2F3 mov     edx, ecx                         ; |             edx=ecx=arg4
0049E2F5 xor     edx, FA0280AF                    ; |    edx=arg4异或FA0280AF
0049E2FB push    edx                              ; |<%d>   edx入栈
**%s/%s/%d/%d/arg4异或FA0280AF/1/arg5
0049E2FC mov     edx, eax                         ; |          edx=eax=arg3
0049E2FE xor     edx, ecx                         ; |            edx=arg3异或arg4
0049E300 mov     ecx, dword ptr [esp+614]         ; |   ecx=arg1
0049E307 xor     edx, 5580AF27                    ; |      edx = edx异或5580AF27
0049E30D push    edx                              ; |<%d>   edx入栈
**%s/%s/%d/arg3异或arg4再异�?580AF27/arg4异或FA0280AF/1/arg5
0049E30E xor     eax, 3EB2C5CC                    ; | eax = arg3异或3EB2C5CC
0049E313 push    eax                              ; |<%d>
**%s/%s/arg3异或3EB2C5CC/arg3异或arg4再异�?580AF27/arg4异或FA0280AF/1/arg5
0049E314 mov     eax, dword ptr [esp+620]         ; | eax = arg2
0049E31B push    eax                              ; |<%s>
**%s/arg2/arg3异或3EB2C5CC/arg3异或arg4再异�?580AF27/arg4异或FA0280AF/1/arg5
0049E31C push    ecx                              ; |<%s>
**arg1/arg2/arg3异或3EB2C5CC/arg3异或arg4再异�?580AF27/arg4异或FA0280AF/1/arg5
0049E31D lea     edx, dword ptr [esp+220]         ; | edx 指向上面预留�?536个存储单元中最�?12个单元的首地址
0049E324 push    004CBFCC                         ; |**%s/%s/%d/%d/%d/1/%d
0049E329 push    edx                              ; |s
0049E32A call    edi                              ; \wsprintfA edx指向生成的明文字�W�串首地址
0049E32C add     esp, 20                      ; 前移32个存储单�?br /> 0049E32F push    1FF                             512入栈 <加密函数�W?个参�?gt;
0049E334 lea     eax, dword ptr [esp+20C] eax =明文字符�?br /> 0049E33B push    eax                              ; /String
0049E33C call    dword ptr [<&KERNEL32.lstrlenA>] ; \lstrlenA 得到明文的长度，保存在eax�?br /> 0049E342 push    eax                                   eax入栈   明文长度入栈<加密函数�W?个参�?gt;
0049E343 lea     ecx, dword ptr [esp+10]     ecx=�W�一�ơ入栈的edi的��|��应该是某个成员变�?br /> 0049E347 push    ecx                                   ecx入栈<加密函数�W?个参�?gt;
0049E348 lea     edx, dword ptr [esp+214]
0049E34F push    edx                                    明文字符串首<加密函数�W?个参�?gt;
0049E350 call    004A0B10                           调用加密函数
fnEncode(char *strSrc, char *strDest, int lenSrc, 512)
...................
后面是发送信�?/p>

Phrancol Yang 2008-05-30 16:34 发表评论