SonOyuncu Launcher Analiz & Dump & Decompile & Half Deobofuscation

Lyceion' Alıntı:

BU HİLE DEĞİLDİR AMA DOĞRU ELLERDE HİLE YAPMAYA YARDIMCI OLUCAK BİR KOD YIĞINIDIR. HİLE NASIL DİYE SORMAYIN!

Şu hayatta en ayar olduğum şey bir şeyin imkansız denmesidir. Kendim yapamasam bile (Bazı younlarda hileler & anticheat geçmek & reverse falan bahsettiğim yapamadığım) mutlaka yapan, yapabilecek veya yapacak birileri vardır.

Sonoyuncuyu tanrı görmeyin çünkü kendisi en azın anti-hile korumalı launcherlardan birisi. Yabancı serverler bildiğiniz driverli koruma yapıyorlar. Bu direkt launcherdan argümanla oyuna giriyor.

Fonksiyonlar deobofuscate edildi ve projeyi olabildiğince temiz 2-3 decompiler birleştirerek decompile ettim. Sizin devamını getirmeniz gerekecek arkadaşlar bundan dolayı sizi önemli bilgiler vereceğim en altta da direkt decompile dosyasını vereceğim. Kolay gelsin!

Şimdi bütün metinler obofuscate edilmiş durumda ama java obufuscatorlari .NET inkiler kadar çetin olamıyor ne yazık ki (onlar da ne kadar çetin olmasa da). Zaten yorum tarzı bir dil olduğundan bir de virtualize vesaire edilmiyorlar genelde (edilip edilemediğini bilmediğimden kesin konuşmuyorum). Direkt bir fonksiyon ver her stringi deobofuscate etmek için onu da başka fonksiyonlarda dolaştırarak kısaca adından da anlaşılacağı gibi "karıştır"ıyor. Sizlere bütün bilgileri vereceğim...

Genel bilgiler:
Şimdi, bu loader dump'ı. Bunu direkt açamazsınız başlangıçta kontrol var updaterdan açıp açmadığınız ile alakalı büyük ihtimal. Bir sonraki resimde bunun nerden alındığını söyleyeceğim. İlk olarak updater ile açtım ve updater bir indirme yaptı. İndirme için classic izinlerden istedi ben de verdim. Fakat, arkada bir lokasyona indirdi. MacOSX de nereye kaydettiğini bilmediğim için araştırdım. Direkt Hedefe ulaşıyoruz. İlk açtık ve fullscreen e alarak (MAC'in avantajları ) loader in class ının adını bulduk:

Ardından merak ettiğim konu olan "Bu loader nerede?" sorusu için (bu komut sadece MACOS de çalışır.) lsof -d cwd u çalıştırarak açık processleri görüntüledim. Altta gördüğünüz "java" bizim hedefimiz çünkü launcherlar genelde java ile yazıldığını bildiğim için ve direkt ".jar" olduğundan kabak gibi ortada

[ÖNEMLİ!] pvnp.java
Argümanların içeri alınıp, "Loaderdan geldi mi?" kontrolünün yapıldığı bölüm. Iflerden de gördüğünüz gibi o uzun fonksiyonlar size "Launcher'dan açın!" uyarısını göndermek için. Stringler düzeltilirse görüceksiniz. İçinde "pvnp" geçen bütün class isimleri sizin birinci hedefiniz olmalı çünkü asıl loader o.

HDdJ.java
Büyük ihtimalle, oyunun açıldığı & kontrollerin yapıldığı bölüm.

EfXJ$Profile.Java
Şimdi, burası biraz önemli. (KANIMCA) Bu karıştırılmış stringlerin çözümü burdaki 23. satırdaki fonksiyonla yapılıyor. Neyse uykum geldi bu da son tüyom olsun...

Evet, arkadaşlar benden bu kadar. Herkese iyi akşamlar & geceler diliyorum. Öpüldünüz :*
Biraz anlayan biri şu stringleri çok kolay hemen python ile falan decode edicek bir string yazabilir. Ben bir yere kadar geldim fonksiyon isimlerini temziledim. Eğer fonksiyonun ismi rastgele harflerden oluşan anlamsız bir şey ise büyük ihtimalle bu obufuscator (karıştırıcı) ile alakalıdır oralara dikkat edin. Hadi NightyFox kaçarrrrr!

Bağlantıları görmek için lütfen Giriş Yap

Bağlantıları görmek için lütfen Giriş Yap

Genişletmek için tıklayın ...