【NGame破解版】Dll加壳保护方案分析
发布于： 15:38&&&|&&&
1134次阅读
作者: 管理员
&&&|&&&原作者: TP&&&|&&&来自: 原创
分析背景NGame游戏海外版出现了破解版，该版本在dump出游戏的dll中不能直接通过反编译工具查看修改后的游戏代码，导致无法确定外挂修改的直接逻辑点。本文主要针对AssemblyCSharp.dll模版，分析其dll保护的方法。分析过程1、拿到Encrypt_Assembly-CSharp.dll，拖进reflector中查看，发现文件不能被解析，提示说无效的COFF 头。2、用010Editor打开Encrypt_Assembly-CSharp.dll查看文件，如下：熟悉的MZ头，后面的“This program cannot be run in DOS mode”还被改成了“https://www.AndroidRepublic.org/” 网址，再看看后面的数据，基本确定是PE格式了。再看看这个网址，应该是这个组织把游戏给hack了再加上壳的。3、我们用010Editor来解析下这个PE文件，得到如下图：可以得出DOS头通过e_lfanew解析出了NT头，但是奇怪的是NT头却没有解析出Section，让我们查看下NT头是否有不符合COFF格式的项。展开NT头，发现下面的Signature值有误，应该只是“PE”即 0x