最近这段时间,我一直在琢磨这个“双胞胎少女”的官方正式版。不是我爱玩这个东西,实在是架不住老李那小子天天在我耳边念叨。老李是我发小,开了个小作坊,老想用这个软件里的新素材去做点展示用的小视频,可官方那个最新的正式版,他下载了五六个版本,没有一个能让他称心如意的。
他跟我抱怨说,官方现在是越来越黑心,新版本看着华丽,核心功能全部做了阉割,很多老版能用的高帧率渲染和自定义模型接口,在新版里全部被加了密,或者干脆从主程序里给抠出去了。他找到我,就说了一句话:“老哥,你知道我的脾气,不把这个官方的壳子给它逆推开,我晚上睡不着觉。”
小编温馨提醒:本站只提供游戏介绍,下载游戏推荐89游戏,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区
从抓住源文件开始
我一听,就知道这是个苦活。但谁让我是个吃软不吃硬的人?被官方的加密机制卡住,这比什么都让我来劲。我二话不说,把老李给我的“官方正式版”安装包拽了过来,直接扔进了我的隔离系统里。我得先确保这玩意儿不带点奇怪的私货。
我的第一步,永远是抓包和反编译。这个“双胞胎少女”软件,启动的时候非常贼,它不光要校验本地文件完整性,还要偷偷地连接官方的服务器,拉取一个动态的配置校验码。一旦发现你本地环境有一点点改动,或者不是通过官方的渠道登录的,它立马给你静默降级,把那几个关键的新功能模块给你锁死。
我先用上了我那套惯用的组合拳:Wireshark抓网络包,IDA Pro跑反汇编。我盯着它启动的头三十秒,那流量跑得跟瀑布似的。我发现它在加密传输之前,会用一个老掉牙的Base64编码把它的请求参数包起来。我当场就笑了,这技术栈怕不是十年前的。
我定位了握手请求的关键参数。其中有一个参数,我给它命名为“活体心跳码”,这家伙是根据你的本地硬件信息和系统时间戳实时生成的,目的就是防止你直接复制别人的授权文件。
硬改校验指令,注入“假心跳”
要逆推它,光分析数据没用,得从代码层面动手。我把主执行文件和几个关键的动态链接库(DLL)都扔进了IDA里面。那个代码流程图,密密麻麻,像蜘蛛网一样。
我花了整整一夜,咖啡都喝了三壶,终于在核心认证模块里,找到了那个负责判断“心跳码”是否合格的跳转点。那段汇编代码,我一眼就认出来了,它在做完一串复杂的异或和位移运算之后,会跑一个JE(Jump if Equal)指令。如果相等,就走“验证通过”的流程;如果不相等,就走“静默退出或降级”的流程。
我的做法简单粗暴,就是不让你走那个判断。我直接用二进制编辑器把那个跳转指令给强行改了。管你算出来是我都让你无条件跳转到“验证通过”的那个内存地址。这就像在一条岔路上,我直接焊死了一个方向的出口,逼着它往我要的方向走。
做完这个“手术”,我重启了程序,果然,校验是过了。但新的问题来了:它虽然不校验我的本地身份了,可它还是不给加载最新的那套双胞胎少女素材包。
攻克云端素材加载的难题
老李要的“最新版”,核心就是那几个新模型和高清渲染接口。这玩意儿是单独放在官方的云端服务器上的,程序在启动并通过本地校验后,会再次请求这些资源。我发现,它请求的时候,不再使用那个简单的“活体心跳码”,而是用了一个更复杂的动态Token机制。
这个Token,是每隔十分钟就刷新一次的,而且是经过一个本地加密函数生成的。我意识到,要实现永久的“逆推最新版”,我不能只是改跳转,我必须得模拟出官方的Token生成器。
- 第一步:定位种子。 我在程序的数据段里翻箱倒柜,找那个生成Token用的原始密钥或者说“种子”。这个种子被藏得非常深,用了一个三层嵌套的函数调用才把它取出来。
- 第二步:分析算法。 最终发现,这个算法也不算高明,就是把当天的时间戳、软件的内部版本号和一个固定的硬编码字符串,用一个简单的AES算法做了个加密。
- 第三步:自己实现。 我马上用Python写了一个小脚本,完全复刻了这个AES加密流程。让它在程序启动前,实时生成当前有效的Token。
我把这个Token生成脚本和之前修改的DLL文件打包整合。我做了一个简单的外壳启动器,这个启动器的任务就是两件:一是先在内存里注入那个硬改的校验指令;二是在程序开始网络请求前,动态计算出最新Token,并把它注入到程序的内存空间里,假装是官方正式版在访问资源。
整个过程,我耗了四天,基本是没怎么睡觉。但当老李告诉我,他终于可以毫无限制地使用那套最新的高精度模型,并且渲染速度快得飞起的时候,我感觉这四天的付出值了。这套逆推下来的“最新版”,比官方那些扭扭捏捏的阉割版,用起来顺手多了。实践证明,只要肯下功夫,任何官方设下的限制,都是可以被我们这些搞实践的给撬开的。