手游-放开那三国socket协议分析

手游-放开那三国socket协议分析

图文：a4727603

楼主本就是一个偷懒的人，玩游戏最什么的最讨厌了还要一遍遍的刷副本，于是就有了这个破解的过程

刷副本太累，想写个脱机挂自动打副本，背景交代完毕{:1_906:}

开始执行：
APK下载地址http://static1.zuiyouxi.com/client/fknsg_zyx_4.2.8_gwphone_1502101503.apk

1、抓包数据

这是抓包得到的数据

0000   00 00 00 67 01 00 01 01 62 16 36 bd a3 96 dd 8e  ...g....b.6.....0010   58 48 c9 7f 84 c5 21 ff 0a 0b 01 0d 6d 65 74 68  XH....!.....meth0020   6f 64 06 25 75 73 65 72 2e 67 65 74 53 77 69 74  od.%user.getSwit0030   63 68 49 6e 66 6f 11 63 61 6c 6c 62 61 63 6b 0a  chInfo.callback.0040   0b 01 19 63 61 6c 6c 62 61 63 6b 4e 61 6d 65 06  ...callbackName.0050   25 75 73 65 72 2e 67 65 74 53 77 69 74 63 68 49  %user.getSwitchI0060   6e 66 6f 01 0b 74 6f 6b 65 6e 06 15 33 30 30 34  nfo..token..30040070   39 37 36 32 30 30 09 61 72 67 73 09 01 01 01     976200.args....

对比了几个数据包之后很明显的可以发现 最前面的67代表的是包长，而62 16 36 bd a3 96 dd 8e  58 48 c9 7f 84 c5 21 ff 就是整串数据的神秘所在了，起码完全不知道是怎么来的，也看不出来什么加密
后来数了下位数，神奇的发现是32位，而且每个包的这几位都是32位，于是我就大胆猜测这是MD5加密

2.IDA分析apk    

最后定位到这个so里面 打开分析下

找到MD5加密函数所在

3.动态调试

找到地址了，然后再用ida动态调试轻车熟路 配置好

打开 ida 调试

再来寻找我们需要下的断点

计算一下：62A67000(so起始位置)+001D4ED8（方法位置）=62C3BED8
跳转

下断点，回游戏随便干点事
成功，竟然真的断了下来

哈哈哈

4.定位源数据

可以看到MD5前的数据是这样的 对应的数据包

写个程序测试下是否正确（最后发现真的就是这个）这里6D个长度的数据 md5的结果就是抓包中得到的15 0a 26 7e 9a 41 dd 89 41 2a c0 bd 4f 58 fa 5c 看来定位正确，可是这个6D长度的东西又是怎么来的？？？？？

5.回到静态分析，看下都是谁调了md5

最后定位到这个方法：PackageHandler::buildPackag

很清晰的看到了有一个 sub_5FAA90(&v26, "4bd4ace59");
肯定就是我们想要的东西了，然后看下这里到底干了点什么
结合动态调试发现关键点在这

  for ( k = 0; s > k; ++k )  {    if ( s - 1 == k )      v9 = *(_BYTE *)(v19 + k) ^ s;    else      v9 = *(_BYTE *)(v19 + k) ^ *(_BYTE *)(v19 + k + 1);    sub_5FAAE0(&v26, v9);  }

这几句什么意思？无非就是a[1]^a[2]  我们再来看下
原始数据     0a 0b 01 0d xxxxxxxxx
运算后数据  01 0a 0c xxxxxxx
是不是就是0a^0b 至此大功告成
整个加密解析过程完毕