众所周知,很多游戏的图片文本影音等资源,都是经过打包、加密或者压缩的,那么为了获取这些资源,只能对算法进行分析,写出相应的破解程序,从而达到资源提取的目的。
- a+ F% T6 |' A! \4 D8 [8 t3 ^9 s% o5 ^% l O% ^( W$ n2 N4 `$ p3 g
但目前来说,使用公开的已知算法来加密或压缩的游戏,毕竟是少数,大多游戏厂商都会对已知算法进行一定的修改或者干脆自己发明一种算法,这时想要破解就没那么容易了。还好为了速度上的考量,这样的算法一般都不会很复杂,我们还是可以通过对程序进行dasm来进行分析破解。 6 a0 i, \( F: Q$ f: n0 a
_$ V8 k" S0 ^7 e) f4 u, C6 _
昨天受朋友之托,让帮忙破解pc版ys2的文本文件"libre.ys2",花了10来分钟搞定,虽然无论从分析还是算法的角度来说,都属于非常简单的级别,但是对于从未接触过dasm破解的朋友来说,却无疑是一个很好的试刀例子。本文通过描述此次的破解过程,讲述了dasm破解游戏资源的一般思路,希望能达到抛砖引玉的效果。
* ]" E" q7 g9 ?1 }; k) A9 \6 P. Y1 _& K' @0 R* q8 \% x
2 e; r6 Q) @% h; L) I7 H% B7 s--------------------------------------------------------------------------------
1 @& A- e- h: {/ n
9 W* S" ~$ _. A% M: m1 \1 I% r: P7 L本人比较懒,既然说是简易教程,就一切从简。。。 6 c! {9 A; ?! F+ b$ g# H7 J
9 U) M) o* J9 e8 s$ n- a5 Y拿到文件首先分析文件头: 5 O0 D( K9 f8 z' {- c
23 C8 14 00 AE 63 06 00 AC 07 97 3E 02 4F 9C 71
+ p L' A% p1 k2 D* d5 E1 P( u
3 J. U L Q- m. m这是文件前16个字节的内容,很明显,前面8个字节,也就是2个dword马上引起了我们的注意。因为这个文件的大小是0x663B6,而0x000663AE = 0x663B6 - 0x8,那么可以推断,0x000663AE就是数据部分的大小,而前8个字节就是文件头。那么还剩一个0x0014C823是什么呢?因为文件里搜不到明文文本,说明不是被加密就是被压缩过,做过破解的可能都会根据两个数值之间的关系,推断0x0014C832就是解压后的数据大小,看起来也是很合理的,我起初也是这么判断的,目前就先放一边吧。 - z3 }, g L0 q7 a7 Z" @
, v/ B( G' ?8 h! g再让我们看看数据部分,杂乱无章,没有任何已知算法的压缩头,也不像是lz系列的压缩,看来再看下去也是徒劳,只能祭出dasm了。
/ m! A5 J! T3 e
. x+ f2 y9 J& I3 }/ ~( N由于pc上有众多调试器,所以最好的做法是进行动态跟踪来找出算法,不过前面说了我比较懒,抱着侥幸心里先用ida试了试静态分析,看看能不能有所斩获。关于ida的下载安装使用等本文概不提及,有兴趣的朋友可以自行查阅相关教程。
* e/ e/ D. `. _. [* |" L; ?' |& u; w; o# F7 V3 P! p3 @
由于存在数据大小,因此可以判断这个文件是单独使用的,那么首先想到的就是到字符串列表里查找文件名,然后看哪些程序用到了它。 I4 r$ K9 }" |9 l. ~. A
) J- R) R( F& J/ ]: [' F
打开ida,加载"ys2_win.exe",在strings里搜索"libre.ys2",果然找到如下字符串: 5 }$ |3 o; N! y$ \+ Q" H
_rdata:004B8798 0000000F C DATA\\LIBRE.YS2 ! F5 i! X# B/ g7 H- G: a
6 @$ c5 b+ u! o1 E) N双击来到其地址处:
v& l, F: P* ]# v0 d3 g_rdata:004B8798 aDataLibre_ys2 db 'DATA\LIBRE.YS2',0 ; DATA XREF: sub_0_443030+39�o
- \6 g% o _! h: a& z! Y+ e d: R4 @. G
可以看到,很幸运,只有一处进行了引用,下面转到sub_0_443030+39处:
' t' c q8 b0 q/ I; E9 u
) `* o6 R5 A$ Z$ N: DC++代码
+ b$ q0 R/ d) H$ r9 P( G6 \# K_unknwn:00443065 push 0 , }/ `6 O* X) D8 o3 G
_unknwn:00443067 push 0
( o+ c4 X7 F: p! N5 a_unknwn:00443069 push offset DataLibre_ys2 ; "DATA\\LIBRE.YS2" 0 y; ^& v! M& z
_unknwn:0044306E push 80000000h
2 y& ^ h+ d# O# P_unknwn:00443073 lea ecx, [esp+140h+var_124]
/ I$ l8 {: M" X' X_unknwn:00443077 mov [esp+140h+var_4], 0 , d7 S d& k% X% h5 Q6 P9 r- G
_unknwn:00443082 call dword ptr [eax+10h] 9 ^. I) c0 m* `% |( [
_unknwn:00443085 lea ecx, [esp+140h+var_134]
3 J' E1 l, l' B* j2 d. W. X9 v_unknwn:00443089 call sub_0_44B780
1 x; E5 d3 R+ w0 h6 V* y_unknwn:0044308E mov esi, eax 4 o* m; A# ~7 T% q! ]/ ]' X
_unknwn:00443090 push esi
, K2 H' n1 s! L2 `5 O. O_unknwn:00443091 call ??2@YAPAXI@Z ; operator new(uint) 7 o6 {- L, M4 ^+ f; E9 K7 i8 k
_unknwn:00443096 add esp, 4
3 s6 _( Z8 B- @! I1 v& s" ~* S8 Z_unknwn:00443099 push esi ; nNumberOfBytesToRead
9 p2 y- w" L8 F7 u& h9 E1 {_unknwn:0044309A push eax ; lpBuffer
7 G! g+ e' [) G$ K; b4 m# t3 c_unknwn:0044309B lea ecx, [esp+148h+var_134] : |5 n) g) ^( Q
_unknwn:0044309F mov dword_0_5FA6B4, eax
/ j; z' \2 G0 L9 d+ s: X ^_unknwn:004430A4 call sub_0_44B6B0 1 _. a' H" V# r2 F) a
_unknwn:004430A9 mov eax, dword_0_5FA6B4
4 t; V% U E/ e7 ]5 j/ @3 `_unknwn:004430AE mov edx, [eax+4] 2 o0 P' z2 D; K p" e
_unknwn:004430B1 mov ecx, [eax]
S0 b& F& ]( L) w- b_unknwn:004430B3 lea esi, [eax+8] " L4 @- ~" j: D
_unknwn:004430B6 add edx, esi
& ? t/ h9 a! @, n: |7 |+ c_unknwn:004430B8 push edx 9 p$ Z) _6 n9 e+ p+ c$ Q9 I6 [4 W
_unknwn:004430B9 mov edx, esi ' l! a1 ?' y6 W0 r
_unknwn:004430BB call sub_0_492580
5 n( G! r: z1 C. c6 \7 G: p- h& R9 ~5 B$ m9 g; ?% Q: T+ d
对于asm的分析,没有什么捷径可走,只能是耐心+经验+运气。 4 I) A: K# f2 @, C* \1 d
) U6 s9 s0 R F3 K5 Q下面简单分析一下这段程序:
0 _6 D9 ~6 D+ j2 f0 b: ~3 L* Y
4 P( c9 S" O8 n, n4 R+ P第3行,对"DATA\\LIBRE.YS2"这个文件名进行了压栈,作为后面函数的参数之一。
# ]. J Y, o. ]2 I- @) t3 p$ h
# c9 E5 j/ P2 C7 Z* f6 Q d( N- T0 d; P9 i第7行,"call"调用目的函数目前弄不明白,跳过。
3 E% J* R$ j1 E* n. [" U
5 p" m6 a9 u# w c% q8 G第9行,"call sub_0_44B780",追到sub_0_44B780里,发现调用了系统API GetFileSize,返回值保存在eax里,所以eax里现在就是文件的大小。 8 x% s* a$ C h, @
( X! P& c. f4 ]
第10-12行,用"new"进行内存分配,分配空间大小就是刚才获得的文件大小,说明这里是分配一个缓冲,用来加载文件。 2 W$ [7 N2 u8 a/ k7 g" |
8 d; n7 m4 E, o& O5 ^
第13-18行,压栈一些数据,为函数"sub_0_44B6B0"传递参数,追到这个函数里,发现调用了系统API ReadFile,说明此处是把文件读取到内存的缓冲区中。此处注意,第15行很明确的说明了此时eax就是缓冲区的指针lpBuffer,如果之后要进行解压或者解密,基本上肯定要从这里取得原始数据,因此必需时刻跟踪这个指针。第17行,eax被传到了一个地址上,可以看成是一个临时变量用来暂存lpBuffer。 / X V. b7 l" g9 S( s+ |
7 c4 s& w- T; V& D, H
第19行,把刚才暂存的缓冲区指针lpBuffer传回eax。 - A" K+ ~0 e1 B# N4 R0 z% i- l
; K: a& m. X0 [( Z
第20行,有意思的来了,想起来了么,[eax+4]就是文件第2个dword,也就是数据部分的大小,传到了edx,看来我们接近目的地了。
. d: n* K" ]/ {
^, D+ G/ \4 y# l2 l" T/ }+ f: K# b1 R第21行,第一个dword传给ecx,之前推测是解压后的大小。
6 A: \: s: U' I2 s, P6 _, u0 A4 [& M6 D* `. s% b8 ~
第22行,注意这里lea和前面mov的区别,这里是传地址,esi现在实际上是个指针,指向缓冲区中的实际数据部分。
5 F& u- d2 z! O1 w* {7 b3 {4 R3 J9 t$ G) u, ~
第23-25行,这里的edx=edx+esi,实际上是得到一个指向数据末尾的指针,猜想是用于循环计数的结束标志,并且将这个指针压栈,作为参数传递给后面的函数sub_0_492580。然后再把lpBuffer送edx。一切准备就绪。
' d& H) q. C3 S' y; i
1 c9 j' ?, a7 ]8 X现在应该可以判定,sub_0_492580就是用来解压或者解密的函数。不用犹豫,追进去,实在是太熟悉的程序模式了,如下:
% I+ B3 \$ h4 Y4 a4 f' r5 x' ^5 R* M( z( p$ }( l! B
C++代码
- i& O& w' y& k" R4 D+ e_unknwn:00492580 sub_0_492580 proc near
# M* ~8 h# b8 U* P3 y_unknwn:00492580
3 [2 z* b+ b; s6 [_unknwn:00492580 $ i4 r( {* z/ l/ V. c
_unknwn:00492580 arg_0 = dword ptr 4 7 t6 M. {' X: n- T0 }
_unknwn:00492580 . H8 t3 G( G8 L( s* P/ o
_unknwn:00492580 test ecx, ecx
; V& F, _2 Z; z( C/ V2 K. {+ s1 y& j_unknwn:00492582 push esi % `+ K5 U4 L' {1 J
_unknwn:00492583 mov eax, edx
, X0 g( r$ v& s8 ^ K7 ~4 K* u% L6 n_unknwn:00492585 jz short loc_0_4925B3
$ |$ {6 \0 _; _' b6 q_unknwn:00492587 mov esi, [esp+4+arg_0] 8 C: D& u. L+ e+ ^7 [- N
_unknwn:0049258B cmp eax, esi , S; D" I) L% z+ H, E% g. ?
_unknwn:0049258D jnb short loc_0_4925B3 , e1 o! t" l8 {3 i: f8 c; ^% k
_unknwn:0049258F push ebx
+ A0 I' _1 I/ z* Y0 i_unknwn:00492590 ! N" J: R* \$ d A
_unknwn:00492590 loc_0_492590: ; CODE XREF: sub_0_492580+30�j + L2 W9 F/ X% \' y5 a/ A- `; y
_unknwn:00492590 mov bl, [eax] " u' I( `" `7 q& ~6 ~
_unknwn:00492592 lea ecx, [ecx+ecx*4]
: J) W8 @3 j2 Q_unknwn:00492595 lea ecx, [ecx+ecx*4]
2 S9 F- k% i5 X( d* H) ]9 L3 |_unknwn:00492598 lea ecx, [ecx+ecx*4] 7 K( ?5 U6 j2 @$ {
_unknwn:0049259B lea ecx, [ecx+ecx*4] - W# @; P9 h0 {
_unknwn:0049259E lea ecx, [ecx+ecx*4]
# d- g/ E" V# \; ~/ x3 ?2 ]9 @. b6 ?_unknwn:004925A1 lea ecx, [ecx+ecx*4]
2 x( X3 ]" [8 G! j6 u_unknwn:004925A4 mov edx, ecx
1 H6 ~5 ~( F" q_unknwn:004925A6 shr edx, 10h
# d( }' V4 ~+ p. K7 n_unknwn:004925A9 sub bl, dl
2 ^5 r# r8 ~4 J' X' e_unknwn:004925AB mov [eax], bl
. a% S1 N! q* F_unknwn:004925AD inc eax
( a, i8 \0 W' t$ _# X# o_unknwn:004925AE cmp eax, esi
0 Z" x7 ~6 C1 Z0 _( W_unknwn:004925B0 jb short loc_0_492590 , r2 G G: K$ \+ K) D
_unknwn:004925B2 pop ebx 6 k$ v* S% k2 C1 X0 v& f' S1 g/ @+ c
_unknwn:004925B3 # ^& h/ r( P! l, ]) E$ e
_unknwn:004925B3 loc_0_4925B3: ; CODE XREF: sub_0_492580+5�j , R) h% o( F* p) w
_unknwn:004925B3 sub_0_492580+D�j
8 B2 i# L. C% z_unknwn:004925B3 pop esi : a: m* G; Z# |0 A! [
_unknwn:004925B4 retn 4 & N% ?6 G& i& ]6 X( z7 @: @
_unknwn:004925B4 sub_0_492580 endp ( q- f; g0 ], C6 N' l( }
2 _# W* {- e# q% I# ? L' h7 y6 v. w这里的"mov bl, [eax] ....... mov [eax], bl"这个程序段实在是太引人注目了,以至于第一眼看到就几乎可以断定这是个解密程序。下面做简要分析:
1 Y, g& B \3 ?$ p: t1 Z0 B5 u( O7 ~; w( {
+ \' }7 t2 W9 ` s" q/ s0 p第1-9行,一些合法性判断。第8行很重要,edx送到了eax,根据前面的分析,eax此时就是缓冲区中数据部分的起始地址指针!同时也是作为移动游标使用。
0 }% P8 K/ S _0 J/ R3 r. @+ b' o9 C* X& `+ {
第10行,获得传入函数的参数,即前面提到的数据末尾指针。送esi。
0 H# Q: l+ y; z& l% e' E, u7 c9 J( h+ L3 J- C& R$ t( D/ v+ D
第11-12行,做了个比较,如果游标大于数据末指针,那么就返回。到这里就很清楚了,eax作为一个游动的指针,指向数据部分的单个字节数据,esi作为一个结束标识,两者结合作为循环结束的判断依据。 2 n3 l# ?0 K. K' Q) x
5 I) U- B4 p% {! A第16-29行,不用说了,明显是解密。第16行取出一个缓冲区中的数据,第29行则是把解密过的数据放回原缓冲区。中间的就是解密过程了。还记得么,在函数调用之前,ecx的值就是文件第一个dword的值,这里终于弄清楚它的作用,就是作为初始密钥!这里17-22行相当于"ecx = ecx * 5 * 5 * 5 * 5 * 5 * 5"(注意这里是lea),第23-24行是把得到的结果右移16位,并传入edx。第25行的dl,就是edx的低8位,即"dl = edx & 0xFF",这里用原始的数据来减dl,然后26行把结果写回缓冲区,这样就完成了一个字节的解密工作。第27-29行则是递增游标,然后判断数据是否解密完,做循环。
% N# c" Q9 ~+ n" k3 x* l2 H
5 f. M, q, H1 x; D' U2 d2 B至此整个解密算法分析结束,如果这样你还写不出解密程序来,我也无话可说了。。。 / T: M- O) ] }, K, B
7 |# @8 I9 V" `* U) [8 h总结起来,dasm破解游戏资源的关键,就是密切跟踪用于加载文件的缓存区,以及对于该缓冲区内数据的读写操作,如果是取出了数据然后经过一系列处理又放回去的,一般就是解密了;如果只是取出数据,经过一系列处理以后,放到了另一个缓冲区的,很可能就是解压。总之,dasm是一件非常需要耐心的工作,asm代码总是枯燥的,要弄清各个寄存器的值也得花一番功夫,但是破解以后的成就感,也只有你亲自动手并完成以后,才能体会得到了。。。1 t9 i; q( o8 W4 E' {6 o
) A Y: b4 G J+ P原贴3 f# G1 }/ X. a
http://www.xinyuonline.net/blog/?action=show&id=37 |
发表于 2008-10-30 20:34
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
很美好
很差劲
