U E D R , A S I H C RSS

이영호/n Protect Reverse Engineering

(개�������� ZeroWiki�� http://www.dasomnetwork.com/~leedw/�� ������ �� ����. �� ����.)
�� �각����. ZeroWiki ������ ������ ���� ���? ������ ������ �� ������. 그��고 �� �� ������� ���� �������� ��과� ���� �������. ���������� �� ������� ������. 그��고 ��까�� ���� ������ ���� ���� �������� �������.
������ ������ � ���� ������ 거�� ���� ���� ������� ������ ��������고 ����. ���� �� �������� ���� ��, ����� �������� ���� ���� ��과 ���� �� ���� ��, ������ �� ���� ���� ��� ��, �� ���� �������� ���� �������� ���� ���� �� ����������. ���� ���� ���� ��구���� � ���� �� ������� �� ���� �������. ���� ���� ���� ���� ������� � �� �� �� ���� �� ���� ������ ������ ��길��고 �각����. �� �� �� ����까��? -- Leonardong
��� 게���� Cracking ��고 ������ nProtect ������ ����그 ���� ��� ���고 ������.

�� : ������기(Mabinogi)
Protector : guardcat ���� nProtect ���� ������ ��

# 1����
nexon�� 경�� Protector�� ���� ���� � ���� 게���� ������ ������ ��계�� ���� ���.
�� 결과 nProtect guardcat �������� ������ ��� ��견��.
(��군� nProtect� ���� hooking�� �고, 게�� �� ������ ������ � ���� ������ ������ �� ������고 ����,
������기� �� ���� nProtect�� ������ 게���� ��� 결과 ������ ���� Exception Handling�� ���� ��� ��견��.)

guardcat�� ���� EnumServicesStatusA�� Process�� �� ���� OpenProcess�� debug�� �� �� ���� ��견��.
�� ������ ������, OpenProcess�� ����그 Process�� Hooking�� ���� gc_proch.dll�� ������ ��� ����.
=> guardcat.exe -> gc_proch.dll
��개�� 고���� 게���� ������ ������ ���� ������ ��� �� ��, ������ ���� ������ ��� 깨��고, ������ �� ������ ��공 �� ��.
������ �������� host�� patch ������ ������ eady.sarang.net/~dark/12/Mabi/�� 고��고 ��기�� ���� 3개�� ����고 ���� ����
��공 ��. ������ guardcat Packing, Enchypher�� ��� encoding �� �� ������ ����� ������.

# 2����
=> gcupdater -> guardcat.exe -> gc_proch.dll
�개�� ������ ���고 guardcat.exe�� �������� gc_proch.dll�� hooking ������ ��������.
!!! gc_proch.dll�� �� ����� ���.
gc_proch.dll ������ ��거�� �������� gaurdcat.exe� ������고 debugger�� ���� �� �� ��� ��.
������ update�� ������. ���� gc_proch.dll �������� mabinogi.exe�� ���� ������ ���.

=> mabinogi.exe -> client.exe -> gcupdater -> guardcat.exe -> gc_proch.dll
��게 ���� ��� ����.
��기까 �������� 2������ 걸������...
1. mabinogi.exe(게�� ���� ������ ���� ��. 그��고 createprocess�� client.exe�� �����고 ������.)
2. client.exe(client� ������ �, gameguard�� ��개�� ����거� ���� ���� �� ���� ����. ������ ������ ����. 1. ���� ������ �����-���� ��, ����� �� �� ����. 2. Debugger Process� ���� Check.-���� ���������� ������. 3. gcupdater.exe�� �������� ������. 4. createprocess�� gcupdater�� ������. 5. ���� ���� �����고 gcupdater IPC�� ����� thread�� ������.)
3. gcupdater(������ ������ ������ ���� 3개�� ������. guardcat.exe, INST.dat, gc_proch.dll�� ������ �� �������� wsprintf�� ���� ������.-�� ����거�� API�� 걸��기 ������ ����. createprocess�� guardcat.exe�� ����������.)
4. guardcat.exe(������ EnumServicesStatusA�� Process List�� �� gc_proch.dll ����과 IPC�� ������ ����. ���� �������� Process�� ���� gc_proch.dll�� ����. ��� IPC�� �� client.exe�� Exception�� ����게 �� 게���� ���������� ���� ��.)
5. gc_proch.dll( ���� debugger�� ���� ���� ��. ���� �� ����.) -> ���� dll injection ��������.

# 3����
금까�� �������� ����� 결과 key�� client.exe� ��고 ���� ����� ����.
client.exe� ������ �, ���� ��과 ����거�� ���� ���� ��거��, updater�� ������ ������ �� ������ ������ �� protector�� ���� mabinogi�� ������ �� ����.
�� client.exe� gcupdater.exe�� ���� ���� 고�� �결 ���� �� ���� ����. ��, �� �� ���� ��������.

��고 zeropage�� ������ (�� google�� 걸�� ���� ������.)

-------------------------------------
mabinogi.exe -> client.exe�� ���� ��

CreateProcess() ��개��
|ModuleFileName = NULL
|CommandLine = ""C:\Program Files\Mabinogi\client.exe" code:1622 ver:237 logip:211.218.233.200 logport:11000 chatip:211.218.233.192 chatport:8000 setting:"file://data/features.xml=Regular, Korea""
|pProcessSecurity = NULL
|pThreadSecurity = NULL
|InheritHandles = FALSE
|CreationFlags = 0
|pEnvironment = NULL
|CurrentDir = "C:\Program Files\Mabinogi"
|pStartupInfo = 0012E4F0
|pProcessInfo = 0012E4E0

client.exe code:1622 ver:237 logip:211.218.233.200 logport:11000 chatip:211.218.233.192 chatport:8000 setting:"file://data/features.xml=Regular, Korea" �� �������� ����.
-------------------------------------

reverse engineering�� �� ����.
Protector� ��거 ���� ���� cracking�� ����. -_-^
Valid XHTML 1.0! Valid CSS! powered by MoniWiki
last modified 2021-02-07 05:30:32
Processing time 0.0732 sec