带壳破解冒险岛某服登录器的wz检测[Themida2.0+壳]

(编辑:jimmy 日期: 2024/10/30 浏览:2)


2012年注册至今发的第一个破解贴。。。惭愧,,,非常感谢 @yyhd 大佬发的玩玩破解系列贴,对我帮助巨大!建议想学破解的同学可以看看!
到现在还是小白水平,以下内容纯小白向,大佬勿笑哈
=================================================================
今天要破的是风车冒险岛的登录器,原名叫QQMXD,只要是用这个登录器的服基本可以说通杀
效果就是可以修改冒险岛游戏文件.wz达到作弊的目的,登录器的作用就是检测wz文件有没有被篡改,如被篡改就无法启动游戏
首先要关闭ALSR,中文名叫:地址空间配置随机加载,顾名思义就是把软件的基址随机了,这样你进OD的代码头就不是0040000开头了 这在win8及以上系统才会有,win7及以下系统就不用这一步骤
把登录器拖到ALSR disabler的小软件里,这个软件可以在论坛找到,大家搜一下就行

然后会出来两个exe

org就是原版备份,我们要破解的是第一个关闭了地址随机的exe
惯例上PEID查壳

诶?yoda's 没见过啊,搜一下百度发现这个是由于PEID数据库太老的原因导致,识别不出来的新壳都显示yoda
换Exeinfo PE

Themida壳,查了一下貌似很屌,不过我这种小白是不会脱壳的,这辈子都学不会的那种,直接拖到x32dbg跑起来

跑起来后按ALE+E切换到符号界面,找到第一个基址00400000,点进去进入程序领空

看了一下头部,xor eax,eax 诶?这不是@yyhd 大佬发的玩玩破解系列贴里面说的易语言程序特征吗?
既然是易语言那接下来就试试字符串大法

已知这个登录器更改了wz后会提示文件长度不匹配,我们就搜一下,果然有的!

双击点进去,往上查发现第三个大跳转是经过这个提示的,je表示等于就跳转

那把je修改为jmp无条件跳转就好了,这样就不会判断wz的文件长度了


改好后我们观察一下修改后有哪些变化

地址00473DA7已经变成了E9D7000000,下面一行还有一个90,是因为我们修改后长度不够,程序自动添加了一个字节90
连起来就变成 00473DA7 E9D700000090 记起来,等下做内存补丁要用
在查找这个文件长度时我还发现了另外一个提示叫:文件特征不匹配 ,我想这个应该也是检测wz的,一起干掉吧
跟上面的一样,也是往上找第三个大跳判断的

照葫芦画瓢,继续修改为jmp

修改后变为 0047410A E9D700000090 记起来

这个登录器还有其他的检测非法程序的无伤大雅,不影响使用,就不过了
现在来做内存补丁,因为这壳我不会脱,只能通过补丁的方式来曲线救国了。。

把刚才记起来的都依次添加到补丁制作工具里

在上面程序名称选择风车登录器.exe,生成补丁即可!
完结~~
有朋友回复要登录器来练手,特此附上蓝奏云链接:
https://wwd.lanzouf.com/iesJj03ou9wj
注:此登录器是同步服188.2用的最新的版本,只要你玩的服登录器是长这样的就可以按此贴通杀

图片是以前的图,水印涂掉了
===============================================================
一些破解心得,这个登录器我第一次破解的时候绕了很多弯路,一查壳是强壳就想放弃,我的惯性思维是破解软件必须脱壳,脱不了就无解,
但是转念一想,或许有另外一种办法可以破解,就看了@yyhd 大佬发的玩玩破解系列贴,发现除了脱壳外还可以用内存补丁的方式进行破解,
给我的感觉就是柳暗花明又一村,刚学破解的朋友遇到问题真的要多搜多搜看,很多问题都是有大佬发出来解答过的。
引用@yyhd 大佬的话:
坚持是非常痛苦的,在黑暗中我一直摸索,
直到有一天我才看到了一线曙光。
有了继续前行的希望和动力