[系统安全] 五.OllyDbg和Cheat Engine工具逆向分析植物大战僵尸游戏

2021-03-01 14:28:02 浏览数 (1)

您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。换专业确实挺难的,逆向分析也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~

系统安全系列作者将深入研究恶意样本分析、逆向分析、攻防实战和Windows漏洞利用等,通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步。前文普及了OllyDbg的基础用法和CrakeMe案例;这篇文章将详细讲解OllyDbg和Cheat Engine工具逆向分析用法,完成植物大战僵尸的游戏辅助器,包括修改阳光值和自动拾取阳光两个功能,希望对入门的同学有帮助。

话不多说,让我们开始新的征程吧!您的点赞、评论、收藏将是对我最大的支持,感恩安全路上一路前行,如果有写得不好的地方,可以联系我修改。基础性文章,希望对您有所帮助,作者的目的是与安全人共同进步,加油~

文章目录

  • 一.VS内存地址查看
  • 二.Cheat Engine逆向修改阳光值
  • 三.OllyDbg逆向自动拾取阳光
  • 四.总结及学习推荐

作者的github资源:

  • 系统安全:https://github.com/eastmountyxz/SystemSecurity-ReverseAnalysis
  • 网络安全:https://github.com/eastmountyxz/NetworkSecuritySelf-study

前文分析:

  • [系统安全] 一.什么是逆向分析、逆向分析基础及经典扫雷游戏逆向
  • [系统安全] 二.如何学好逆向分析及吕布传游戏逆向案例
  • [系统安全] 三.IDA Pro反汇编工具初识及逆向工程解密实战
  • [系统安全] 四.OllyDbg动态分析工具基础用法及Crakeme逆向破解
  • [系统安全] 五.OllyDbg和Cheat Engine工具逆向分析植物大战僵尸游戏

声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。


一.VS内存地址查看

在讲解OllyDbg和Cheat Engine工具逆向分析游戏之前,我想先给大家普及下内存地址的基础概念,以及通过创建项目来讲解下内存、地址、值它们的关系。

第一步,打开VS2019创建空项目“RE_ZWDZJS01”,然后添加main.cpp源文件。

如下图所示,选中项目右键“添加”->“新建项”,然后创建main.cpp文件。

第二步,添加代码如下所示,我们尝试在内存中查看变量的位置。 其中%#表示输出提示方式,如果是8进制在前面加0,如果是十进制不加任何字符,如果是十六进制会加上0x。

代码语言:javascript复制
#include "stdio.h"

int main()
{
	int x = 1000;

	//内存中查看值得位置
	printf("%#Xn", &x);

	//暂停
	getchar();
	return 0;
}

我们尝试添加个断点,然后运行程序。

第三步,按下F5调试,输出结果为0x12FFCDC。

  • 0x12FFCDC

第四步,接着我们需要在内存中查看这个值,选择“调试”->“窗口”->“内存”,然后随便选择一个“内存”。

输入地址“0x12FFCDC”即可。

接着我们打开程序员型计算机,可以看到1000对应的十六进制就是3E8,刚好和上面的 E8 03 00 00 一致。

  • E8 03 00 00

注意这里仅显示了一个字节,我们如果右键选中转换为4字节,则可以显示完整的数值,如下图所示。

  • 0x000003e8

写到这里,VS简单查看内存的方法就介绍完毕了,其原理类比为:

  • 内存 --> 旅馆
  • 地址 --> 门牌号
  • 值 --> 旅客A

那么,我们怎么将“旅客A”换成“旅客B”呢?这就需要通过门牌号在旅馆中找到“旅客A”再替换,但之前需要进行权限提升,才能进行后续的操作。同样,在游戏中,如果我们想在内存中修改值,也是通过地址访问这个值再进行修改,修改前也需要提升权限。具体操作主要包括四个步骤:

  • 第一步,找到游戏窗口
  • 第二步,通过窗口找到进程ID
  • 第三步,通过进程ID打开进程
  • 第四步,通过打开的进程完成内容修改

讲解完这个基础知识,接着我们开始植物大战僵尸的逆向吧!


二.Cheat Engine逆向修改阳光值

修改阳光值其实就是修改游戏的分数、能量、血量、攻击力之类的,其原理是通过地址修改内存中的值,这里主要使用的是Cheat Engine工具。

第一步,通过Cheat Engine工具打开运行着的植物大战僵尸游戏。

第二步,输入数字“100”,点击“首次扫描”。

返回结果为762个。

第三步,接着反复玩游戏,并输入对应的数字进行“再次扫描”,比如输入数字“150”,点击“再次扫描”。

最终我们得到了一个结果,其地址为:

  • 0x207FB5A0

第四步,打开任务管理器,然后选中植物大战僵尸游戏,右键选择“转到详细信息”按钮。

显示结果如下图所示,这里获取了植物大战僵尸的进程ID。

  • PID:3256

原理搞懂之后,接下来就需要编写代码完成阳光值的修改。

第五步,在编写C语言代码修改阳关的参数前,先讲解Spy 的查找窗口功能和FindWindow函数。 我们在VS中可以看到查找窗口函数FindWindow包括两个参数,即窗口的类型和窗口的标题。

代码语言:javascript复制
FindWindow(
  lpClassName,        {窗口的类名}
  lpWindowName: PChar {窗口的标题}
);

这里我们可以通过Spy 来进行辅助讲解。

在弹出的界面中选择这个查找窗口(从左数第五个)按钮。

然后移动选择游戏窗口,查看对应的信息,它包括窗口句柄,如下图所示。所以接下来我们可以通过标题和类进行查找。

  • 标题:植物大战僵尸中文版
  • 类:MainWindow

第六步,编写核心C语言代码,实现相关游戏修改功能。

通过GetWindowThreadProcessld函数找到进程ID。

代码语言:javascript复制
DWORD GetWindowThreadProcessld(
	HWND hwnd,                   //窗口句柄
	LPDWORD lpdwProcessld        //接收进程标识的32位值的地址
);

通过OpenProcess函数打开一个已存在的进程对象,并返回进程的句柄。

代码语言:javascript复制
HANDLE OpenProcess(
	DWORD dwDesiredAccess,   //渴望得到的访问权限(标志)
	BOOL bInheritHandle,     //是否继承句柄
	DWORD dwProcessId        //进程标示符
);

通过WriteProcessMemory函数写入某一进程的内存区域。注意,直接写入会出Access Violation错误,故需此函数入口区必须可以访问,否则操作将失败。

代码语言:javascript复制
BOOL WriteProcessMemory(
	HANDLE hProcess,                 //由OpenProcess返回的进程句柄
	LPVOID lpBaseAddress,            //要写的内存首地址
	LPVOID lpBuffer,                 //指向要写的数据的指针
	DWORD nSize,                     //要写入的字节数
	LPDWORD lpNumberOfBytesWritten
);

完整代码如下:

代码语言:javascript复制
#include "stdio.h"
#include "windows.h"

int main()
{
	//输入值作为修改阳光参数
	int x;
	scanf("%d", &x);

	//进程ID
	DWORD pid;

	//1.找到游戏窗口 窗口类型、窗口标题
	HWND hwnd = FindWindow(NULL,L"植物大战僵尸中文版");

	//2.通过窗口找到进程ID
	GetWindowThreadProcessId(hwnd,&pid);

	//3.通过进程ip打开进程
	HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);

	//4.通过打开进程修改游戏内容
	WriteProcessMemory(hProcess, (LPVOID)0x207FB5A0, 
		               (LPVOID)&x,sizeof(x),&pid);

	return 0;
}

第七步,当我们进行数值修改时,我们的植物大战僵尸阳光也就行对应的修改。 先设置为“0”,如下图所示修改成功,哈哈!是不是完成了一个简单的游戏辅助器呢?

接着我们修改成10086,如果360提示警告(识别远程线程注入),我们点击“允许本次修改”即可,最终成功将阳光值修改为“10086”。我们终于可以愉快的玩耍了,妈妈再也不用担心我的阳光!

同样第二关我们也可以进行修改,但此时的窗口地址会有变化,它变为了0x2099AE60,修改核心函数:

  • WriteProcessMemory(hProcess, (LPVOID)0x2099AE60, (LPVOID)&x,sizeof(x),&pid);

注意,如果游戏存在地址保护的情况,我们可以尝试注入进行修改。本系列文章仅分析经典的本地游戏,至于网络游戏一律禁止大家去修改或破坏,原理普及安全防护为主。

第八步,编程中遇到的错误一定要学会独立百度、谷歌解决,这是至关重要的一种能力提升。 注意,如果提示错误“error C4996: ‘scanf’: This function or variable may be unsafe. ”,则因为VS认为scanf函数是不安全的,进行安全开发生命周期SDL检查设置即可。


三.OllyDbg逆向自动拾取阳光

自动捡取的关键是点击鼠标,如果你点击到了阳光上它才会增加。所以我们希望在阳光下落的时候触发点击阳光事件,然后阳光地址会增加,初步预测涉及两个CALL函数。

  • 阳光出现call
  • 判断是否点击到阳光然后增加阳光的call

第一步,当我们使用Cheat Engine定位到阳光的地址后,可以选中该地址右键设置“找出是什么修改了这个地址”。

首先,植物大战僵尸此时定位的地址为:0x2099AE60;然后选中改地址右键,设置“找出是什么修改了这个地址”。

  • 0x2099AE60

第二步,等待下一个阳光捡起后,可以在下图所示窗口中获取新产生的值,即0x00430A11。接着点击0x00430A11地址,将扩展信息记录下来,方便接下来的自动拾取功能。

  • 0x00430A11

同时,点击“显示反汇编程序”会形成下图所示的效果图。

第三步,利用OllyDbg软件打开“PlantsVsZombies.exe”游戏。

第四步,前面我们已经定位到了阳光的窗口地址0x00430A11,接着按下Ctrl G或者右键“转到”->“表达式”,然后跳转到指定位置。

跳转0x00430A11如下图所示:

第五步,按下F2给它增加个断点以及注释,游戏运行到点击阳光增加数值时就会断到这里。 我们可以查看ECX数值,它应该是19,对应十进制的25,所以猜测这里是增加阳关值。

运行程序直到捡起阳光,它会自动停到断点位置,并且ECX修改为0x19,对应的阳光值增加25分。观察汇编代码,发现它是一个增加语句,即验证了它是阳光的增加语句。

  • 0x00430A11 ADD DWORD PTR DS:[EAX 5560],ECX

第六步,点击“调试”->“执行到返回”按钮(快捷键Ctrl F9)。

接着跳转到0x00430AB4位置,如下图所示,注意返回到0x004314FD位置。

  • 返回地址:0x004314FD

第七步,在RETN返回处按下F7,执行单步步入,会看到CALL函数执行完毕。我们不难推测这个函数就是增加阳光的函数。

  • 0x004313F8 CALL PlantsVs.004309D0

接着我们给它增加一个断点,然后再次运行程序,点击拾取阳光后会自动定位到该位置。

第八步,选中该条语句进行nop操作。 NOP指令相当于空指令,不执行任何动作,对应16进制字节码为90。当我们的软件有广告弹窗时,我们可以通过nop设置过滤掉弹窗。

接着选中0x004313F8该行,右键“汇编”,然后在弹出的窗口中设置为nop即可。

如下图所示,设置之后0x004313F8位置变成了NOP空指令。我们可以把这个语句NOP设置后,发现点击阳光数值是不增加的,从而确定了增加函数。

第九步,然后右键撤销修改,接着分析汇编代码JNZ操作。

这时可以看到,在CALL函数之前有一个JNZ操作,也就是说它可能需要判断值才会进入增加阳光的函数,我们在这个JNZ下断点,再进入游戏点击阳光。

  • JNZ:jump if not zero,结果不为零(或不相等)则转移。

多次运行程序放行之后会发现,当我们点击阳光之后,阳光会往上走,只有当阳光完全到达指定位置(左上角)之后,才会执行call增加阳光值,由此得知这个JNZ主要是判断阳关是否到位。

注意,这里需要多次在0x004313F4处下断点再取消运行游戏,反复操作之后会发现实现JNZ操作后阳光会向左上角移动,否则会停止状态。作者也是一点点摸着过河,加油!

第十步,继续执行程序定位点击函数。 在增加阳光的CALL函数(0x0043159B)前有个跳转,当JNZ执行成功之后才会增加这个CALL。我们在JNZ处下断点调试它的执行流程。

当我们在JNZ处下断点后,运行游戏会突然跳转到断点处停止,如下图所示,并且游戏屏幕没有任何操作,接着按下F7运行发现阳光即将出现。

阳光出现如下图所示。

由于JNZ断点会让游戏很卡,接着我们将该处断点取消,而在0x0043159B位置CALL增加断点,执行程序后会发现当我们点击阳光的时候会被断下,所以判断它是阳光采集函数。这是个很典型的if-else语句, 如果没有被点击就会一直执行动画CALL,如果被点击那么就会执行增加阳光的CALL。

第十一步,最重要的步骤出现,我们将jnz修改为jmp,从而实现自动捡取阳光。

当我们修改完成之后,会发现阳光一出现就自动增加,根本不需要手动去点击,最终完成了该辅助功能。同样,我们可以尝试编写C语言实现相关自动化修改,这里不再进行讲解。

  • JNZ:jump if not zero,结果不为零(或不相等)则转移。
  • JMP:汇编无条件跳转指令。

注意,CMP BYTE PTR DS:[EBX 50],0 是判断是否收集阳光的标志,然后才执行JNZ或JMP操作。当我们点击一个植物时,程序断了下来,可以看到赋值0,JNZ是不会跳转的;当我们点击阳光的时候才会赋值1,调用函数采集阳光。


四.总结及学习推荐

写到这里,这篇文章就介绍完毕,希望对您有所帮助,最后进行简单的总结下。

  • VS内存地址查看
  • Cheat Engine逆向修改阳光值
  • OllyDbg逆向自动拾取阳光

学安全一年,认识了很多安全大佬和朋友,希望大家一起进步。这篇文章中如果存在一些不足,还请海涵。作者作为网络安全初学者的慢慢成长路吧!希望未来能更透彻撰写相关文章。同时非常感谢参考文献中的安全大佬们的文章分享,深知自己很菜,得努力前行。

很多朋友问我如何学逆向分析? 下面给出推荐的学习路线和安全书籍。软件逆行其实就是搬砖活,你需要的是任性和基本功。可能大佬们会有很多技巧,但我希望你能扎扎实实去躺过那些坑,会看懂代码,会写代码,然后IDA和OD工具(倚天屠龙)用好,每天泡在代码中,肯定能行的。你应该这样学习:

  • 多敲代码,重视实战;
  • 程序不是写出来的,是调出来的;
  • 根据自己兴趣和市场需求做一定规模的项目。

下图开发和逆向项目非常推荐你去完成,开发远控软件有助于你分析木马,CAD软件能提升你C 分析能力,做一个调制器或许反调试就不再那么难,自制一个小操作系统、小编译器、任务管理器,或许逆向原理就懂了。

编程没有捷径,逆向也没有捷径,它们都是搬砖活,少琢磨技巧,干就对了。什么时候你把攻击对手按在地上摩擦,你就赢了,也会慢慢形成了自己的安全经验和技巧。加油吧,少年希望这个路线对你有所帮助,共勉。

2020年8月18新开的“娜璋AI安全之家”,主要围绕Python大数据分析、网络空间安全、人工智能、Web渗透及攻防技术进行讲解,同时分享论文的算法实现。娜璋之家会更加系统,并重构作者的所有文章,从零讲解Python和安全,写了近十年文章,真心想把自己所学所感所做分享出来,还请各位多多指教,真诚邀请您的关注!谢谢。

(By:Eastmount 2021-02-27 周六夜于武汉)


参考资料: [1] C语言逆向工程之游戏辅助开发 - C语言Plus [2] 游戏辅助制作核心–植物大战僵尸逆向之召唤僵尸call(九) [3] 游戏辅助制作核心–植物大战僵尸逆向之植物攻击加速(六) [4] 植物大战僵尸自动拾取阳光 - TD.Jia [5] 游戏逆向篇 - 星星向蓉 [6] [CE游戏逆向] Plants vs. zombies - Simpler_若离

0 人点赞