最近在玩LOL,看到有人在卖网吧特权,于是买来分析了一番。这个软件是用易语言编写的,令人惊讶的是,易语言能写出如此出色的用户界面。开启特权后,进入游戏,体验极佳,操作简单,无需繁琐步骤。接下来,我们将深入探讨特权的实现原理与破解方法。首先,特权软件分为验证程序和QQ网吧客户端两部分。通过分析软件启动过程,我们发现其使用UPX壳保护,脱壳后执行关键代码。启动后,软件加载易语言动态链接库,通过非静态编译方式,动态加载执行。软件启动后,执行验证代码,获取MAC地址作为账号信息,并向服务器发送套接字请求。服务器回应登陆成功状态和TickCount值。接收到成功响应后,软件创建QQ网吧客户端进程。进一步观察,我们发现可疑模块privilege_mgr.dll。此模块未签名,加载至QQ网吧客户端后修改PE头,断链,导致在PChunter中显示为红名模块。根据推测,privilege_mgr.dll可能在其中扮演关键角色。我们脱壳后进行逆向分析,发现了其功能。在privilege_mgr.dll中,我们观察到其HOOK了Sendto函数头,并直接返回0018,阻止QQ网吧客户端调用。由此推测,特权软件通过截取、修改QQ网吧客户端发送的套接字数据,再向服务器发送已处理的数据,实现特权功能。我们还发现,特权软件通过SendMessage方式与登录程序交互,确保在登录窗口关闭时,QQ网吧客户端自动关闭。进一步分析套接字数据,我们得知登录程序向服务器POST了关键信息。通过实验,我们验证了这一过程。了解了特权实现原理后,我们尝试了破解方法。通过修改服务器IP地址,成功绕过验证,实现特权功能。脱壳后,我们对软件进行了修改,如改变标题、按钮和LOGO,甚至添加验证壳,以赚取收益。分析至此,本文探讨了特权软件的原理与破解过程。对于有兴趣进一步探索的读者,可以参考相关阅读链接。
