[系統(tǒng)安全] 一.什么是逆向分析、逆向分析基礎(chǔ)及經(jīng)典掃雷游戲逆向

系統(tǒng)安全系列主要包括惡意樣本分析、病毒逆向分析、系統(tǒng)安全攻防實(shí)戰(zhàn)和Windows漏洞利用等，通過在線筆記和實(shí)踐操作的形式分享與博友們學(xué)習(xí)，希望能與您一起進(jìn)步。第一篇文章先帶領(lǐng)大家學(xué)習(xí)什么是逆向分析，然后詳細(xì)講解逆向分析的典型應(yīng)用，接著通過OllyDbg工具逆向分析經(jīng)典的游戲掃雷，再通過Cheat Engine工具復(fù)制內(nèi)存地址獲取，實(shí)現(xiàn)一個自動掃雷程序。

文章目錄

一.什么是逆向分析

1.逆向工程

2.逆向分析的典型應(yīng)用

二.掃雷游戲逆向分析

1.游戲介紹

2.OllyDbg動態(tài)分析

三.掃雷游戲檢測工具

1.Cheat Engine確定起始位置

2.Cheat Engine確定邊界

3.C++編寫鼠標(biāo)坐標(biāo)獲取案例

4.C++編寫自動掃雷程序

四.總結(jié)

系統(tǒng)安全：https://github.com/eastmountyxz/SystemSecurity-ReverseAnalysis

網(wǎng)絡(luò)安全：https://github.com/eastmountyxz/NetworkSecuritySelf-study

聲明：本人堅(jiān)決反對利用教學(xué)方法進(jìn)行犯罪的行為，一切犯罪行為必將受到嚴(yán)懲，綠色網(wǎng)絡(luò)需要我們共同維護(hù)，更推薦大家了解它們背后的原理，更好地進(jìn)行防護(hù)。（參考文獻(xiàn)見后）

一.什么是逆向分析

1.逆向工程

反匯編：一次編譯技術(shù)，閱讀匯編代碼反推出對應(yīng)的高級代碼，比如VC、GCC、Delphi等。

反編譯：通常在C#、Java、.NET框架等，因?yàn)樗梢灾苯影言獢?shù)據(jù)還原成高級代碼，反編譯其實(shí)更難，但是對使用的人更簡單，比如Android的APK反編譯成JAVA源代碼。

下面開始吧！第一個大家需要知道的是“什么是逆向工程？”

什么是逆向工程？

簡單而言，一切從產(chǎn)品中提取原理及設(shè)計(jì)信息并應(yīng)用于再造及改進(jìn)的行為，都是逆向工程。在信息安全中，更多的是調(diào)查取證、惡意軟件分析等，不管你用什么工具或手段，能達(dá)到其目的就算逆向分析。下圖是《變形金剛》里面對它的描述，2007年的時候國內(nèi)對信息安全重視程度也不高，對逆向分析也沒有什么概念，真正重視是從老大提出“沒有網(wǎng)絡(luò)安全就沒有國家安全”之后。而那時候的國外電影就已經(jīng)用到了“reverse engineered”，說明國外導(dǎo)員對這個技術(shù)及應(yīng)用場景都是了解的。

逆向工程最早是在二Z時的船舶工業(yè)，分析船的弱點(diǎn)，通過外形反推內(nèi)部結(jié)構(gòu)，其中粉紅色是Amuno、黃色是引擎室、藍(lán)色是龍骨、綠色是推進(jìn)器等等。只有知道怎么造一個船后，才能進(jìn)行逆向分析。

當(dāng)然還有模具逆向、材料逆向、軟件逆向，在我們的軟件行業(yè)，就稱為軟件逆向。同樣，在網(wǎng)絡(luò)攻防中，你不可能先給出源碼再進(jìn)行攻擊，通常在安全對抗中第一步要做的就是逆向分析，不管你用什么方式進(jìn)行逆向分析，你都需要搞清楚：

它是什么：樣本是什么，良性的還是惡意的

它干了什么：樣本做了哪些事情

我們怎么辦：知道做了什么才能進(jìn)行反制，如刪除注冊表啟動項(xiàng)、清理感染的勒索病毒等

2.逆向分析的典型應(yīng)用

軟件逆向有很多實(shí)現(xiàn)辦法達(dá)到我們的目標(biāo)，典型的應(yīng)用包括軟件工程、網(wǎng)絡(luò)安全、司法取證、商業(yè)保護(hù)等。

逆向應(yīng)用——病毒分析

對于逆向分析，最大的行當(dāng)就是病毒分析。對于一個安全企業(yè)來說，比如360，它的病毒分析團(tuán)隊(duì)屬于它的主業(yè)，包括360、金山毒霸、騰訊醫(yī)生等，它們主要業(yè)務(wù)就是根據(jù)一些惡意樣本的行為，給出解決方案（專業(yè)查殺、完善引擎、應(yīng)急響應(yīng)），比如WannaCry爆發(fā)時，立刻分析其原因和傳播漏洞，分析其影響程度及給出解決方案。所以，研究逆向病毒的人很多，當(dāng)然壞的行當(dāng)做游戲WG也很多，它們的對抗也是沒有源碼的，游戲安全人員會分析WG樣本進(jìn)行完善及修補(bǔ)。

2000年早期制作病毒的人都比較單純，寫病毒是為了技術(shù)炫耀或開玩笑，典型的比如乒乓球病毒，每個周末都爆發(fā)，開啟計(jì)算機(jī)后就有個乒乓球在電腦上彈，導(dǎo)致電腦不能用，而周一到周五恢復(fù)正常（可能是討厭加班），此時的病毒沒有獲取用戶隱私、刪除數(shù)據(jù)等行為。

逆向利用——游戲保護(hù)

從2005年開始，隨著網(wǎng)游普及和網(wǎng)絡(luò)虛擬財(cái)產(chǎn)（游戲裝備）出現(xiàn)，大家也沒有安全意識，出現(xiàn)了很多惡意程序和病毒，比如熊貓燒香，它是由李俊制作并肆虐網(wǎng)絡(luò)的一款電腦病毒，是一款擁有自動傳播、自動感染硬盤能力和強(qiáng)大的破壞能力的病毒，它不但能感染系統(tǒng)中exe、com、pif、src、html、asp等文件，它還能中止大量的反病毒軟件進(jìn)程并且會刪除擴(kuò)展名為gho的系統(tǒng)備份文件。

同時，游戲WG也開始增多，并形成了包括私服、生產(chǎn)、PJ、DH等功能的生產(chǎn)線，通過分析游戲的關(guān)鍵數(shù)據(jù)結(jié)構(gòu)，找到關(guān)鍵數(shù)據(jù)并對數(shù)據(jù)做修改以達(dá)到提升的效果。比如吃雞游戲，如果你通過逆向分析找到每個玩家的坐標(biāo)位置了，你是不是可以寫一個透視G，前提是你知道其數(shù)據(jù)以什么形式存放在哪里，這就屬于PJ掛。你甚至還可以修改攻擊力、防御值，游戲的碰撞檢測（兩者間距離小于某個值）也可以取消實(shí)現(xiàn)飛天、穿墻等。

當(dāng)然，我們的信息安全是正能量的，逆向分析主要是剖析病毒，包括：

逆向病毒，獲取病毒傳播方法，可以遏制病毒傳播

逆向病毒，獲取病毒隱藏手段，可以根除病毒

逆向分析病毒，獲取功能目的，可以溯源定位攻擊者

逆向應(yīng)用——漏洞挖掘

逆向應(yīng)用還包括漏洞挖掘和漏洞利用，其中黑客挖掘漏洞的常用方法為：

通過分析開源軟件的源代碼，獲取漏洞

通過分析產(chǎn)品本身獲取漏洞

通過分析可以利用漏洞的軟件樣本

通過比較軟件前后補(bǔ)丁的差異

大家是否有研究過shellcode、緩沖區(qū)溢出？漏洞利用溢出緩沖區(qū)，首先要把關(guān)鍵內(nèi)存、關(guān)鍵代碼定位出來，這就屬于逆向分析。在漏洞利用過程中，只有你越熟悉周圍環(huán)境則可利用的漏洞就越多，比如逆向服務(wù)端，調(diào)用shell創(chuàng)建新用戶功能，這個時候是沒有源代碼的，所以需要利用漏洞分析。

逆向分析是信息安全行業(yè)的基礎(chǔ)技術(shù)、必須技術(shù)和重要技術(shù)，只有你功力越深厚，則做的事情就越多。

漏洞利用——比較補(bǔ)丁

下圖展示了比較補(bǔ)丁前后差異的工具。比如官方軟件在網(wǎng)上有安全更新，關(guān)注安全行情和漏洞公告的行當(dāng)或企業(yè)會對比官方的補(bǔ)丁，在拿到官方升級后的軟件，他們會對兩個流程做比較，其中左邊流程多了一個節(jié)點(diǎn)，說明升級就是這個位置，再詳細(xì)分析為什么多了這個個檢測。注意，官方公告通常會非常簡略（補(bǔ)丁號、造成后果、影響范圍），比如某個MP3播放器在播放某個冷門格式的音頻文件時，會觸發(fā)一個遠(yuǎn)程溢出問題，接下來我們就需要去做逆向分析，下載升級前和升級后的版本做流程對比。

逆向應(yīng)用——電子取證

通過樣本追蹤地理位置的實(shí)例，后續(xù)會給出一個實(shí)戰(zhàn)案例。

漏洞利用——無文檔學(xué)習(xí)

表示沒有源碼的情況下獲取程序信息，稱為競品分析。假設(shè)某個公司對同行的產(chǎn)品很感興趣，想知道為什么它們的算法比我們的好，然后需要去分析和算法還原，這也是逆向分析的主要應(yīng)用。最好的競品分析，是能夠?qū)⑺惴ㄍ昝肋€原，兩個代碼再次編譯后，除了地址不一樣其他都一樣（IDA查看）。注意，看懂代碼完善程序并換另一種程序語言復(fù)現(xiàn)，算學(xué)習(xí)；而如果直接COPY別人的二進(jìn)制或二進(jìn)制序列，這算抄襲。

二.掃雷游戲逆向分析

1.游戲介紹

下面通過掃雷游戲進(jìn)行逆向分析講解。

-：https://github.com/eastmountyxz/Reverse-Engineering-01-Saolei

此時我們打開一個工具，360會提示危險操作，點(diǎn)擊“允許本次操作”即可。

此時就能夠判斷某個點(diǎn)是不是雷，從而方便我們點(diǎn)擊完成掃雷游戲，O(∩_∩)O

接著進(jìn)行逆向分析。掃雷中肯定有雷區(qū)的定義，作為程序員，你會怎么定義有雷或沒有雷，或者插個旗子的狀態(tài)呢？我們會使用一個二維數(shù)組來存儲。那么，什么時候肯定會訪問這個二維數(shù)組呢？在繪制整個游戲區(qū)、點(diǎn)擊方格的時候都會訪問。

在繪制游戲區(qū)時，Windows編程有個關(guān)鍵函數(shù)，叫做——

BeginPaint

。BeginPaint函數(shù)為指定窗口進(jìn)行繪圖工作的準(zhǔn)備，并用將和繪圖有關(guān)的信息填充到一個PAINTSTRUCT結(jié)構(gòu)中，所以它將是個突破口。

2.OllyDbg動態(tài)分析

接著我們使用Ollydbg打開，在逆向分析中，動態(tài)分析（OD）和靜態(tài)分析（IDA）非常多，動靜結(jié)合也是常用的分析手段。

[網(wǎng)絡(luò)安全自學(xué)篇] 五.IDA Pro反匯編工具初識及逆向工程解密實(shí)戰(zhàn)

[網(wǎng)絡(luò)安全自學(xué)篇] 六.OllyDbg動態(tài)分析工具基礎(chǔ)用法及Crakeme逆向

靜態(tài)分析：程序并未運(yùn)行，通過分析文件的結(jié)構(gòu)（格式）獲取其內(nèi)部原理。

動態(tài)分析：在程序的運(yùn)行過程中，分析其內(nèi)部原理。

灰盒分析：既不靜態(tài)也不調(diào)試，通過一堆監(jiān)控軟件（注冊表監(jiān)控、文件監(jiān)控、進(jìn)程監(jiān)控、敏感API監(jiān)控）在虛擬機(jī)中跑程序，再分析惡意軟件的大體行為，并形成病毒分析報(bào)告。

至于哪種方法更好？我們需要具體問題具體分析，如果是分析掃雷游戲，因?yàn)闆]有危害可以動態(tài)調(diào)試分析，但如果是WannaCry蠕蟲，你就不能在真機(jī)上動態(tài)分析。同時，很多安全公司為了及時響應(yīng)各種安全事件，會把樣本自動上傳到服務(wù)器中，它們每天會收到成千上萬的惡意樣本，但可能存在某些未知樣本只上傳部分的原因，比如某個未知樣本是個動態(tài)鏈接庫，此時沒有運(yùn)行條件，只能進(jìn)行靜態(tài)分析或者模擬接口分析。

軟件靜態(tài)分析包括分析文件格式、分析網(wǎng)絡(luò)協(xié)議、分析軟件日志、修改存檔文件等，下圖展示了通過修改文件游戲作弊的示例。

軟件動態(tài)調(diào)試可以用于HH翻譯，比如《仙劍奇?zhèn)b傳》。

OllyDbg是一個新的動態(tài)追蹤工具，將IDA與SoftICE結(jié)合起來的思想，Ring 3級調(diào)試器，非常容易上手，是當(dāng)今最為流行的調(diào)試解密工具之一。它還支持插件擴(kuò)展功能，是目前最強(qiáng)大的調(diào)試工具之一。OllyDbg打開如下圖所示，包括反匯編窗口、寄存器窗口、信息窗口、數(shù)據(jù)窗口、堆棧窗口。

反匯編窗口：顯示被調(diào)試程序的反匯編代碼，包括地址、HEX數(shù)據(jù)、反匯編、注釋

寄存器窗口：顯示當(dāng)前所選線程的CPU寄存器內(nèi)容，點(diǎn)擊標(biāo)簽可切換顯示寄存器的方式

信息窗口：顯示反匯編窗口中選中的第一個命令的參數(shù)及跳轉(zhuǎn)目標(biāo)地址、字符等

數(shù)據(jù)窗口：顯示內(nèi)存或文件的內(nèi)容，右鍵菜單可切換顯示方式

堆棧窗口：顯示當(dāng)前線程的堆棧

下圖是打開EXE后顯示的界面。

OD常用的快捷鍵調(diào)試方式包括：

F2

設(shè)置斷點(diǎn)，如下圖所示的紅色位置，程序運(yùn)行到此處會暫停，再按一次F2鍵會刪除斷點(diǎn)。

F9

按下這個鍵運(yùn)行程序，如果沒有設(shè)置相應(yīng)的點(diǎn)，被調(diào)試的程序直接開始運(yùn)行。

F8

單步步過，每按一次這個按鍵，將執(zhí)行反匯編窗口中的一條指令，遇到CALL等子程序不進(jìn)入其代碼。

F7

單步步入，功能通單步步過（F8）類似，區(qū)別是遇到CALL等子程序時會進(jìn)入其中，進(jìn)入后首先停留在子程序的第一條指令上。如下圖進(jìn)入CALL子程序。

F4

運(yùn)行到選定位置，即運(yùn)行到光標(biāo)所在位置處暫停。

CTRL+F9

執(zhí)行到返回，按下此鍵會執(zhí)行到一個返回指令時暫停，常用于從系統(tǒng)領(lǐng)空返回到我們調(diào)試的程序領(lǐng)空。

ALT+F9

執(zhí)行到用戶代碼，從系統(tǒng)領(lǐng)空快速返回我們調(diào)試的程序領(lǐng)空。

接著正式分析掃雷程序。

第一步：啟動OllyDbg軟件，選擇菜單“文件”，打開winmine.exe文件。

這里我們猜測游戲中存在一個二維數(shù)組，當(dāng)我們顯示界面時會訪問這個二維數(shù)組，并且調(diào)用BeginPaint函數(shù)來顯示界面。所以接下來需要找到調(diào)用BeginPain的位置。

第二步：在反匯編窗口右鍵鼠標(biāo)，選擇“查找”->“當(dāng)前模塊中的名稱”。

當(dāng)我們在鍵盤上輸入“BEGINPAINT”時，能夠迅速找到對應(yīng)的函數(shù)。

第三步：點(diǎn)擊右鍵選擇“在每個參考上設(shè)置斷點(diǎn)”。

接著點(diǎn)擊下圖所示的“B”進(jìn)行斷點(diǎn)設(shè)置界面。

雙擊該斷點(diǎn)會進(jìn)入到反匯編窗口BeginPaint對應(yīng)位置。

第四步：按下“F9”運(yùn)行程序，可以看到在BeginPaint和EndPaint之前有一個CALL函數(shù)。

選中該行右鍵“跟隨”之后，去到0x01002AC3位置，發(fā)現(xiàn)又存在很多個CALL函數(shù)。

一種方法是一個一個函數(shù)分析，這里使用另一種方法。當(dāng)我們在使用掃雷時，發(fā)現(xiàn)它的界面并沒有閃爍，所以懷疑使用了

雙緩存技術(shù)

，這是我們的突破口。雙緩存是在緩存中一次性繪制，再把繪制的結(jié)果返回在界面上。比如，你要在屏幕上繪制一個圓、正方形、直線，需要調(diào)用GDI的顯示函數(shù)，操作顯卡畫一個圓，再畫一個正方形和直線，它需要訪問硬件三次；此時依賴硬件的訪問速度，而且如果繪制錯誤擦除再繪制，需要反復(fù)的訪問硬件，為了減少硬件操作，我們在內(nèi)存中把需要繪制的圖像準(zhǔn)備好，然后一切妥當(dāng)之后提交給硬件顯示。

第五步：繼續(xù)在反匯編窗口右鍵鼠標(biāo)，選擇“查找”->“當(dāng)前模塊中的名稱”，找到雙緩存技術(shù)的核心函數(shù)BitBlt。

BitBlt是將內(nèi)存中的數(shù)據(jù)提交到顯示器上，該函數(shù)對指定的源設(shè)備環(huán)境區(qū)域中的像素進(jìn)行位塊（bit_block）轉(zhuǎn)換，以傳送到目標(biāo)設(shè)備環(huán)境。

點(diǎn)擊右鍵選擇“在每個參考上設(shè)置斷點(diǎn)”，如下圖所示，此時繪制了兩個斷點(diǎn)。

第六步：運(yùn)行程序去到第二個斷點(diǎn)BitBlt位置。

注意，此時顯示了兩層循環(huán)，剛好符合我們二維數(shù)組的遍歷，按F8單步步過可以動態(tài)調(diào)試觀察其效果。

第七步：在0x01002700位置按下F2取消斷點(diǎn)，并在該函數(shù)的起始位置0x010026A7設(shè)置斷點(diǎn)，接下來需要詳細(xì)分析這個雙緩存函數(shù)繪制過程。

代碼中，ESI首先通過XOR進(jìn)行清零，然后再加1；接著ESI會調(diào)用CMP進(jìn)行比較，說明ESI是循環(huán)變量。接下來“MOV AL, BYTE PTR [EBX+ESI]”表示將EBX和ESI相加賦值給AL，然后AL判斷一個值再做其他的，這有點(diǎn)像訪問數(shù)據(jù)，后面的顯示特性隨著AL做改動，即AL影響后面顯示的內(nèi)容。

MOV指令是數(shù)據(jù)傳送指令，也是最基本的編程指令，用于將一個數(shù)據(jù)從源地址傳送到目標(biāo)地址（寄存器間的數(shù)據(jù)傳送本質(zhì)上也是一樣的）。

第八步：下面看看寄存器，其中EBX是基址寄存器，ESI是它的偏移量，猜測這個EBX基址寄存器和關(guān)鍵數(shù)據(jù)有關(guān)。

選擇EBX基址寄存器，然后選擇“數(shù)據(jù)窗口中跟隨”，顯示如下圖所示的數(shù)據(jù)。

數(shù)據(jù)窗口顯示如下，我們發(fā)現(xiàn)“0F”出現(xiàn)較多，猜測多的這個可能是空的，少的那個是雷“8F”。

第九步：數(shù)據(jù)區(qū)詳細(xì)分析。

我們選擇0x010026A7位置，然后按下F2取消斷點(diǎn)，然后繼續(xù)運(yùn)行程序，此時彈出掃雷主界面。游戲中通常會存在邊界（圍墻），這里“10”應(yīng)該是邊界位置，而0x01005361則為起始位置。

如果第一個不是雷、第二個不是雷、第三個不是雷，第四個才是雷，我們“0F”是空格，“8F”是雷的猜測則正確。

我們?nèi)∠?x01002700位置的斷點(diǎn)，然后運(yùn)行程序彈出掃雷界面，根據(jù)下面的二維矩陣進(jìn)行掃雷。

如下圖所示，前面3個果然時空格，而第四個則時雷。“8A”是雷，“0F”是空格實(shí)錘，而且點(diǎn)過的地方會變成數(shù)字，比如“40”、“41”、“42”等。

第十步：寫個程序進(jìn)行掃雷數(shù)據(jù)區(qū)詳細(xì)分析。

我們重新運(yùn)行程序，選擇“查找”->“當(dāng)前模塊中的名稱”，找到雙緩存技術(shù)的核心函數(shù)BitBlt，然后重新找一下，找到代碼位置。如下圖所示，EBX就是雷區(qū)的起始位置，我們要想辦法把它讀取出來，再往前“MOV EBX, 01005360”代碼看到了EBX的賦值定義。

接著我們輸入F7單步調(diào)試，執(zhí)行完0x010026C4賦值語句后，我們在數(shù)據(jù)窗口中跟隨EBX寄存器，顯示如下圖所示。前面8個均為“0F”表示空格，第9個為雷，再驗(yàn)證一次“01005360位置”，就開始準(zhǔn)備寫程序了。

驗(yàn)證成功，開始寫程序吧！

第十一步：掃雷輔助程序。

我們編寫了這樣一個程序，當(dāng)它開啟后，我們鼠標(biāo)移動到方格，如果是雷它的標(biāo)題會變成“掃雪（xue）”，然后我們不點(diǎn)擊它就可以了。哈哈~

正常是“掃雷”。

雷區(qū)顯示為“掃雪”。當(dāng)然你也可以寫得更隱蔽些，比如和蘋果電話手表建立連接，如果是“雷”讓手表震動一下，否則正常。

注意，基本原理知道后，就需要開發(fā)解決問題了。對于安全行業(yè)來說，不管是做病毒還是研究漏洞利用或游戲防護(hù)的，逆向分析都是基礎(chǔ)，開發(fā)解決問題才是關(guān)鍵。比如，某個病毒樣本的行為已經(jīng)分析清楚了，這個病毒在哪里創(chuàng)建系統(tǒng)文件、修改哪個系統(tǒng)文件、注入到哪個進(jìn)程、動了哪個注冊表等等，逆向分析第一步完成，但更重要的是怎么解決問題，創(chuàng)建注冊表就需要刪除注冊表，修改系統(tǒng)文件就要還原文件。

我們在網(wǎng)上搜索某些病毒資料時，有些逆向工程師會給出手工修復(fù)方案，比如關(guān)閉哪個服務(wù)、刪除哪個隱藏文件、手工清除注冊表哪一項(xiàng)等。但是對于安全公司來說，比如360公司，你安全掃描完成之后，不可能彈框提示用戶手工修復(fù)，而是需要提供自動化方案一鍵修復(fù)，最終結(jié)果是需要修改殺毒軟件的引擎代碼，或者提供專殺工具給用戶，這個時候工具需要自動化完成相關(guān)操作。

三.掃雷游戲檢測工具

通過第二部分，我們知道以下信息：

掃雷的首地址為0x01005360

顯示“0F”表示空格，顯示“8F”表示雷

雷區(qū)的邊界為0x10

Cheat Engine又稱CE修改器，是一款內(nèi)存修改編輯工具。你可以通過Cheat Engine軟件來修改游戲中的內(nèi)存數(shù)據(jù)、人物屬性、金幣數(shù)值等等，功能強(qiáng)大且操作簡單，可以為你帶來良好的更好的體驗(yàn)游戲。

1.Cheat Engine確定起始位置

第一步，打開Cheat Engine軟件，點(diǎn)擊“選擇打開一個程序”按鈕，如下圖所示。

打開掃雷軟件設(shè)置為初級。

第二步，選擇掃描類型為“未知的初始數(shù)值”，選擇“數(shù)值類型”為字節(jié)，然后點(diǎn)擊“首次掃描”。

此時顯示7,290,880個數(shù)據(jù)，如下圖所示：

第三步，接著我們點(diǎn)擊掃雷，然后在“掃描類型”中選擇“變動的數(shù)值”，點(diǎn)擊“再次掃描”，此時返回結(jié)果183,169個。最終通過反復(fù)的篩選找到首地址。

繼續(xù)點(diǎn)擊掃描，如下圖所示。

第四步，如果出現(xiàn)地雷則選擇“未變動的數(shù)值”，點(diǎn)擊“再次掃描”，接著繼續(xù)新一輪的掃雷游戲。

始終以第一個方格的狀態(tài)為目標(biāo)進(jìn)行重復(fù)的操作。

開始掃描：設(shè)置“未知的初始數(shù)值”

掃描第一個格子：設(shè)置“變動的值”

繼續(xù)掃描，結(jié)果是雷：設(shè)置“未變動的值”

繼續(xù)掃描，結(jié)果非雷：設(shè)置“未變動的值”

重新開始：設(shè)置“變動的值”

重新開始如果第一個格子和上一次一樣，則設(shè)置“未變動的值”，否則“變動的值”

下圖展示了最后5個結(jié)果，接著繼續(xù)反復(fù)篩選。

最終獲取如下圖所示的結(jié)果，其初始地址為——0x01005361，和前面OD軟件分析的一樣。

第五步，雙擊該行移動至底部，然后右鍵選擇“瀏覽相關(guān)內(nèi)存區(qū)域”選項(xiàng)。

顯示內(nèi)容如下圖所示，它同樣和我們前面OD分析的內(nèi)容一致。其中“8F”表示雷，“40”表示空格，“41”到“49”表示數(shù)字，“10”表示邊界，同時“0F”表示隔一行。

如下圖所示，成功完成了掃雷游戲，O(∩_∩)O

2.Cheat Engine確定邊界

第一步，我們查看掃雷初級的高度是“9”，然后重新打開建立“新的掃描”。

輸入數(shù)字“9”再點(diǎn)擊“首次掃描”，返回7174個結(jié)果。

第二步，選擇中級難度，對應(yīng)的高度是“16”，然后重新打開建立“再次掃描”，僅剩4個結(jié)果。

第三步，選擇高級難度，設(shè)置高度最高即“24”，然后重新打開建立“再次掃描”

最終剩2個結(jié)果，高度可能是：

0x01005338

0x010056A8

第四步，使用同樣的方法找到寬度。

寬度返回兩個結(jié)果：

0x01005334

0x010056AC

3.C++編寫鼠標(biāo)坐標(biāo)獲取案例

接下來我們開始編寫代碼，首先給大家看看鼠標(biāo)坐標(biāo)獲取的一段代碼，我們鼠標(biāo)通常是（x, y）的形式。

第一步，創(chuàng)建空項(xiàng)目，名稱為“MouseMsg”。

第二步，為該工程添加一個“main.cpp”文件，并且添加啟動項(xiàng)。

第三步，配置graphics.h文件。

graphics.h是一個針對Windows的C語言圖形庫，分為像素函數(shù)、直線和線型函數(shù)、多邊形函數(shù)、填充函數(shù)等。在學(xué)習(xí)C++游戲編程時，通常會發(fā)現(xiàn)VS中沒有”graphics.h”頭文件，因此需要配置。

下載完后打開下載好的 Inlcude 文件夾，里面有兩個頭文件：

(2) 將里面的兩個文件進(jìn)行復(fù)制，然后粘貼到VS安裝目錄的include文件夾中。

C:\Program Files (x86)\Microsoft Visual Studio\2019\Community\VC\Tools\MSVC\14.26.28801\include

(3) 打開下載好的文件夾中的 lib2015子文件夾，將里面的東西全部選中復(fù)制，粘貼到VS2015安裝目錄的 lib 文件夾中。

C:\Program Files (x86)\Microsoft Visual Studio\2019\Community\VC\Tools\MSVC\14.26.28801\lib\x86

C:\Program Files (x86)\Microsoft Visual Studio\2019\Community\VC\Tools\MSVC\14.26.28801\lib\x64

(4) 接下來就可以在VS中添加“graphics.h”頭文件了，里面有很豐富的繪圖函數(shù)可供我們使用。

#include // 引用圖形庫頭文件 #include int main() { initgraph(640, 480); // 創(chuàng)建繪圖窗口，大小為 640x480 像素 setlinecolor(RGB(255, 0, 0)); // 設(shè)置當(dāng)前線條顏色 setfillcolor(RGB(0, 255, 0)); // 設(shè)置當(dāng)前填充顏色 fillcircle(200, 200, 100); // 畫圓，圓心(200, 200)，半徑 100 _getch(); // 按任意鍵繼續(xù) closegraph(); // 關(guān)閉圖形環(huán)境 }

第四步，編寫鼠標(biāo)事件代碼。

#include // 引用圖形庫頭文件 #include int main() { //定義鼠標(biāo) MOUSEMSG m; //初始化窗口 500寬度 500高度 initgraph(500, 500); while (1) { //獲取鼠標(biāo)消息 m = GetMouseMsg(); char buff[256]; //鼠標(biāo)左鍵按下 if (m.uMsg == WM_LBUTTONDOWN) { //清空數(shù)組 memset(buff, 0, 256); sprintf_s(buff, "X坐標(biāo):%d, Y坐標(biāo):%d", m.x, m.y); MessageBox(NULL, buff, "坐標(biāo)", MB_OK); } } return 0; }

運(yùn)行前需要設(shè)置編碼方式為“使用多字節(jié)字符集”，否則會報(bào)錯。

運(yùn)行結(jié)果如下圖所示，可以看到鼠標(biāo)點(diǎn)擊會顯示對應(yīng)的坐標(biāo)位置。

其中GetMouseMsg函數(shù)表示獲取鼠標(biāo)消息，通過Spy++可以看到很多Windows系統(tǒng)自帶的鼠標(biāo)操作、鍵盤操作、消息操作等，同時能獲取鼠標(biāo)是左鍵或右鍵按下以及對應(yīng)坐標(biāo)。

4.C++編寫自動掃雷程序

接下來是通過C++實(shí)現(xiàn)一鍵掃雷功能，主要是模擬鼠標(biāo)在雷區(qū)的點(diǎn)擊操作，并且按下所有非雷區(qū)域從而實(shí)現(xiàn)一鍵掃雷。利用的是Windows應(yīng)用程序的消息機(jī)制，通過SendMessage函數(shù)向指定窗口發(fā)送消息，也就是在獲取到掃雷的窗口句柄后，利用這個函數(shù)向該窗口發(fā)送鼠標(biāo)按鍵消息，從而實(shí)現(xiàn)模擬鼠標(biāo)的操作。

該部分參考ioio_jy老師的文章：逆向工程第007篇：掃雷輔助的研究——0秒實(shí)現(xiàn)一鍵自動掃雷

第一步，創(chuàng)建一個應(yīng)用程序名叫“SaoleiHelp”，并添加主函數(shù)。

第二步，分析掃雷的區(qū)域及坐標(biāo)定義。

坐標(biāo)是基于客戶區(qū)的左上角，但是這個客戶區(qū)是怎么定義的呢？

如下圖所示，究竟A點(diǎn)是客戶區(qū)的左上角，還是說B點(diǎn)才是呢？如果A點(diǎn)為坐標(biāo)原點(diǎn)，那么第一塊雷區(qū)的坐標(biāo)就應(yīng)為（AC,CE），如果B點(diǎn)為坐標(biāo)原點(diǎn)，那么第一塊雷區(qū)的坐標(biāo)就應(yīng)為（BD,DE）。經(jīng)過實(shí)際測試，MSDN中所謂的客戶區(qū)，其實(shí)是以B點(diǎn)作為起點(diǎn)的位置，即原點(diǎn)坐標(biāo)（0,0），而雷區(qū)中心即E點(diǎn)的坐標(biāo)為（16,61），每個雷區(qū)小方塊的大小為16×16，于是可以知道，這里需要循環(huán)計(jì)算出雷區(qū)每一個小方塊的坐標(biāo)，這個坐標(biāo)與保存有雷區(qū)的二維數(shù)組下標(biāo)緊密相關(guān)。

假設(shè)這個二維數(shù)組是mine[y1][x1]，其中y1表示的是雷區(qū)有多少行，x1表示雷區(qū)的列數(shù)，那么每個雷區(qū)方塊的坐標(biāo)為：

x = x1 * 16 + 16; y = y1 * 16 + 61;

在獲得了坐標(biāo)以后，就可以通過如下語句來模擬鼠標(biāo)的點(diǎn)擊操作了：

SendMessage(hWnd, WM_LBUTTONDOWN, MK_LBUTTON, MAKELONG(x, y)); SendMessage(hWnd, WM_LBUTTONUP, MK_LBUTTON, MAKELONG(x, y));

第三步，分析掃雷游戲的雷區(qū)長寬數(shù)據(jù)。

結(jié)合之前寬度、高度的分析，發(fā)現(xiàn)高度位置為0x01005338，寬度位置為0x01005334。我們進(jìn)一步推斷，從0x01005330開始，這里的一行綠色數(shù)據(jù)包含有0x0A、0x09以及0x09這三個數(shù)值，很明顯這三個數(shù)據(jù)正是當(dāng)前雷區(qū)的地雷數(shù)量以及寬、高等信息

雷數(shù)：0x01005330

寬度：0x01005334

高度：0x01005338

同時，我們上面的逆向分析已經(jīng)知道雷區(qū)分布的信息。

“8F”表示地雷

“8E”表示旗子

“40”表示空格

“41”到“49”表示數(shù)字

“10”表示邊界

“0F”表示隔一行

還有一個重要信息是雷區(qū)的分布起始地址，即：

0x01005361

但如果計(jì)算含有邊界的情況，雷區(qū)的分布情況則為：

起始地址：0x01005340

結(jié)束地址：0x0100567F

完整代碼如下：

#include #include #include int main() { DWORD Pid = 0; HANDLE hProcess = 0; DWORD result1, result2; // 獲取掃雷游戲?qū)?yīng)的窗口句柄 HWND hWnd = FindWindow(NULL, L"掃雷"); if (hWnd != 0) { // 獲取掃雷進(jìn)程ID GetWindowThreadProcessId(hWnd, &Pid); // 打開掃雷游戲獲取其句柄 hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, Pid); if (hProcess == 0) { printf("Open winmine process failed."); return 0; } // 存放雷區(qū)的起始地址 DWORD dwBoomAddr = 0x01005340; // 雷區(qū)的最大值（包含邊界） DWORD dwSize = 832; PBYTE pByte = NULL; pByte = (PBYTE)malloc(dwSize); // 讀取整個雷區(qū)的數(shù)據(jù) ReadProcessMemory(hProcess, (LPVOID)dwBoomAddr, pByte, dwSize, 0); int i = 0; int j = 0; int n = dwSize; // 讀取雷區(qū)的長和寬 DWORD dwInfo = 0x01005330; DWORD dwHeight = 0, dwWidth = 0; ReadProcessMemory(hProcess, (LPVOID)(dwInfo + 4), &dwWidth, sizeof(DWORD), 0); //寬度 ReadProcessMemory(hProcess, (LPVOID)(dwInfo + 8), &dwHeight, sizeof(DWORD), 0); //高度 int h = dwHeight; int count = 0; // 雷區(qū)轉(zhuǎn)換，去掉雷區(qū)多余的數(shù)據(jù) PBYTE pTmpByte = NULL; pTmpByte = (PBYTE)malloc(dwHeight * dwWidth); while (i < dwSize) { //邊界判斷 if (pByte[i] == 0x10 && pByte[i + 1] == 0x10) { i = i + dwWidth + 2; continue; } else if (pByte[i] == 0x10) { for (j = 1; j <= dwWidth; j++) { pTmpByte[count] = pByte[i + j]; count++; } i = i + dwWidth + 2; continue; h--; if (h == 0) break; } i++; } // 獲取雷區(qū)方塊的坐標(biāo)，然后模擬鼠標(biāo)進(jìn)行點(diǎn)擊 int x1 = 0, y1 = 0; int x = 0, y = 0; for (i = 0; i < dwHeight * dwWidth; i++) { if (pTmpByte[i] != 0x8F) { //雷 x1 = i % dwWidth; y1 = i / dwWidth; x = x1 * 16 + 16; y = y1 * 16 + 61; SendMessage(hWnd, WM_LBUTTONDOWN, MK_LBUTTON, MAKELONG(x, y)); //鼠標(biāo)按下 SendMessage(hWnd, WM_LBUTTONUP, MK_LBUTTON, MAKELONG(x, y)); //鼠標(biāo)抬起 } } free(pByte); CloseHandle(hProcess); } else { printf("Get hWnd failed."); } return 0; }

運(yùn)行結(jié)果如下圖所示，一秒實(shí)現(xiàn)掃雷。

四.總結(jié)

寫到這里，這篇文章就介紹完畢，希望對您有所幫助，最后進(jìn)行簡單的總結(jié)下。

一.什么是逆向分析

1.逆向工程

2.逆向分析的典型應(yīng)用

二.掃雷游戲逆向分析

1.游戲介紹

2.OllyDbg動態(tài)分析

三.掃雷游戲檢測工具

1.Cheat Engine確定起始位置

2.Cheat Engine確定邊界

3.C++編寫鼠標(biāo)坐標(biāo)獲取案例

4.C++編寫自動掃雷程序

《珈國情》

明月千里兩相思，

清風(fēng)縷縷寄離愁。

燕歸珞珈花已謝，

情滿景逸映深秋。

(By:娜璋AI之家 2021-06-16 星期三 晚上10點(diǎn)寫于武漢)

參考文獻(xiàn)：

真心推薦大家好好看看這些視頻和文章，感恩這些大佬！

科銳逆向的錢林松老師受華中科技大學(xué)邀請- “逆向分析計(jì)算引導(dǎo)”

c++學(xué)習(xí)筆記——VS2015中添加graphics.h頭文件 - 行歌er

逆向工程第007篇：掃雷輔助的研究——0秒實(shí)現(xiàn)一鍵自動掃雷

https://www.bilibili.com/video/BV18W411U7NH

[網(wǎng)絡(luò)安全自學(xué)篇] 五.IDA Pro反匯編工具初識及逆向工程解密實(shí)戰(zhàn)

漏洞掃描服務(wù) 軟件安全

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。