文章总结： 文章分析了洛克王国游戏外挂的技术原理，通过逆向工程揭示其使用易语言开发、通过封包修改实现游戏功能，并详细披露了外挂通过捆绑安装2345软件及锁定浏览器主页的盈利模式，指出该未备案网站存在安全风险。 综合评分： 84 文章分类： 恶意软件,逆向分析,安全工具,WEB安全,其他

分析免费游戏辅助的盈利方式

哆啦安全

2022年2月21日 08:03

在小说阅读器读本章

去阅读

以下文章来源于小道安全 ，作者小道安全

小道安全 .

以安全开发、逆向破解、黑客技术、病毒技术、灰黑产攻防为基础，兼论程序研发相关的技术点滴分享。

背景

洛克王国是一款网页游戏，它是为孩子们设计的儿童魔幻社区。

百度搜索了下，洛克王国辅助关键字，第一个就是洛克王国旋风辅助 官方网站，并且网页上提示这辅助永久免费使用。又是开发辅助又搭建辅助官方网站的，这不都是需要时间成本和金钱吗，下面就分析下，这个辅助的实现原理、还有验证下是否真正都是免费的吗？

外挂基本信息

借助Exeinfo PE工具分析该游戏辅助的一些基本情况，从下图可以直观的看到，该游戏外挂的区段是标准的区段信息，并且展示外挂样本是基于C++进行开发的，实际上该游戏辅助是用易语言开发的辅助软件，所以该辅助样本是一个标准的没做过任何保护的样本。

游戏外挂的样本上，直接附带其游戏辅助网站信息，通过结合网站在线查询如站长之家，进行查询查询网站的基本信息和备案情况。通过查询可确认，该网站是未备案的非法网站。

外挂基本功能

通过结合样本运行观察，并利用ollydbg和IDA工具进行对样本进行分析，该样本主要是通过将网页展示信息用易语言的超文本方式内嵌到外挂程序的界面上，主要的外挂功能实现上是通过封包的方式进行实现的。

下图是外挂的界面展示图

下面是外挂的功能实现数据（只是其中一小部分）

那么如何获取游戏中的每个功能封包和修改封包功能？

通过WPE工具、Wireshark工具去抓取功能的封包数据，然后再结合工具进行修改封包内容达到外挂的功能效果。外挂的再易语言中是通过GET方式向游戏服务端发送封包内容的。

例如 下面是通过向游戏发送修改封号后，训练宠物的封包数据

GET http://17roco.qq.com/cgi-bin/pet_training?cmd=2&type=0000002D0000000208009527000000170004

外挂的下载和锁主页实现

启动外挂样本的后，外挂会默认偷偷从2345网站的下载两个安装程序。

这个就是偷偷下载的输入法和浏览器的两个安装包。

下面是通过调用RegOpenKeyExW,RegSetValueExW,RegDeleteValueW等系统函数进行操作注册表信息。

通过修改注册表的Software\Microsoft\Internet Explorer\Main\Start Page的地址，实现到浏览器启动页的锁定功能。

外挂盈利模式

该免费外挂的盈利模式安装2345输入法、安装2345浏览器、设置2345网址为主页。

2345导航页：http://www.2345.com/?11054 这个就是该辅助作者的推广编号：11054

下面这个地址是2345推广的需求和收益的计算

https://jifen.2345.com/

2345的计费收益是通过积分方式进行推广获取的，然后通过积分兑换一定比例的收益。

通过以两个截图信息可以看到安装软件或者锁定主页的积分并不高，并且兑换比例5万积分才兑换50元的收益。其实以上的积分获取和积分兑换是针对小渠道的。他们还有大客户渠道的。大客户渠道有一定的安装量门槛，但同时获取的收益如积分或者兑换成现金的比例会更高。

E N D

点个赞 在看你最好看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：哆啦安全 《分析免费游戏辅助的盈利方式》