安全测试之探索windows游戏扫雷-京东云开发者社区

<p>**作者：京东工业&nbsp;宛煜昕**

扫雷游戏相信很多人都从小玩过，在那个电脑游戏并不多的时代，扫雷成为玩的热度蛮高的一款游戏之一，然而就在有一次，接触到了一次不寻常的扫雷过程，使得后来我也有了这个冲动，也来做一次。通过动态调试，逆向和C来写一个扫雷辅助工具从而提高逆向与编码技能。

# 动态调试（分析）

首先进行扫雷程序的动态调试（分析）：

打开OD（ollydebug工具），把扫雷拖放到OD中，F9运行；ctrl+G输入要跟随的表达式，输入rand，点击【确定】，跳转到该函数调用处，F2设置断点，此次是想通过API rand函数来找寻突破口。在扫雷窗口的雷区中任意点击一个位置（图片中出现2的位置），再点击还原（【笑脸】按钮-），如下图：

![](https://s3.cn-north-1.jdcloud-oss.com/shendengbucket1/2023-03-22-10-47ab6wPcUZdhgd9TD.png)

此时OD会在刚设置的rand处的断点断下来，如下图：

![](https://s3.cn-north-1.jdcloud-oss.com/shendengbucket1/2023-03-22-10-490A49q3jbUNLkmLgO.png)

通过找到随机函数rand，下面进行栈回溯，回到上级函数中，来找到push（压入栈）的参数，也就是说随机生成函数（rand）是随机生成的高，宽，雷数。点击K（调用堆栈），弹出K调用堆栈窗口，查看堆栈窗口信息，找到返回地址，双击K调用堆栈窗口中的返回地址，返回到上一层，此过程称为栈回溯。仔细观察下图的堆栈信息010036D2（返回地址）。

![](https://s3.cn-north-1.jdcloud-oss.com/shendengbucket1/2023-03-22-10-50LO6aDIJtkWezkYY.png)

![](https://s3.cn-north-1.jdcloud-oss.com/shendengbucket1/2023-03-22-10-50CXUOKb7o6YbGsIi.png)

![](https://s3.cn-north-1.jdcloud-oss.com/shendengbucket1/2023-03-22-10-50fP6s8MqIFl0jl30i.png)

单步F8，观察寄存器，数据窗口和堆栈窗口变化，dword ptr ss:\[esp+0x4\]或dword ptr ds:\[XXX\]数据窗口跟踪数值（000DFC44值是09），如下图：

![](https://s3.cn-north-1.jdcloud-oss.com/shendengbucket1/2023-03-22-10-53Ml10LJjgwMuO53pds.png)

返回到上层函数后，分析这里面的指令，得知刚才随机rand生成的宽（09），如下图，注意观察地址010036C7。

![](https://s3.cn-north-1.jdcloud-oss.com/shendengbucket1/2023-03-22-10-56pz76aHK6z3FRZGd.png)

首先从这个函数返回的结果着手分析eax，单步后，可以看到往堆栈中（地址010036D2）压入了一个数字09，如下图：

![](https://s3.cn-north-1.jdcloud-oss.com/shendengbucket1/2023-03-22-10-57PnwLZmces229LTh9.png)

通过以上分析，基本可以猜测得到周边的随机函数rand生成是高，雷数。可以试着改变扫雷设置（自定义雷区），如下图，来准确定位rand函数及传参，点击【确定】，再点击【还原（笑脸-）】按钮。

![](https://s3.cn-north-1.jdcloud-oss.com/shendengbucket1/2023-03-22-10-58rhW3n3KQpwVcGbv.png)

观察OD，如下图：

![](https://s3.cn-north-1.jdcloud-oss.com/shendengbucket1/2023-03-22-10-58GoGikdkIuypXRGE.png)

发现push 0C（000DFC84值为0C），可以确定这个rand函数push 0C就是雷区的高度。同时在内存区域也能明确看到一个大致的雷区图形，通过以上方法，大致可以猜测0x80就是雷。或者与IDA共同分析，通过静态分析，可以更直观的看到程序逻辑。得到如下数据：基地址，雷数等信息，如下图：

![](https://s3.cn-north-1.jdcloud-oss.com/shendengbucket1/2023-03-22-10-58mYcPRvHGhwXFBct.png)

![](https://s3.cn-north-1.jdcloud-oss.com/shendengbucket1/2023-03-22-10-58ggDSdld0bxACAVi.png)

![](https://s3.cn-north-1.jdcloud-oss.com/shendengbucket1/2023-03-22-10-589dtb722SwlMqhRnI.png)

以上代码大概意思是先设置了全局宽0x09，高0x0C，雷数0x0A的变量，通过判断两层循环，随机生成了宽和高。得地图基地址：0x01005340。通过分析下图得知无雷是0x0F，有雷是0x8F，墙壁是0x10。

![](https://s3.cn-north-1.jdcloud-oss.com/shendengbucket1/2023-03-22-10-59IsS3YZWpU0GlQO9.png)

![](https://s3.cn-north-1.jdcloud-oss.com/shendengbucket1/2023-03-22-10-59pXxa59ZnBJB0DOLL.png)

通过宽，高的地址，打印出扫雷区域和雷数，并可以更直观的区分边墙，雷。

下面开始要想如何标记雷了，通过假设WinProc（通过栈回溯到消息回调函数）中看到有关GetDC函数，大致猜测会用到Bitblt，在OD中ctrl+g输入要跟随的表达式，录入“BitBlt”，按F2设置断点，点击扫雷区域任意一个位置，OD会断在BitBlt位置。

在BitBlt中还有一个BitBlt函数，初步判断觉得是用双缓冲方式绘图，

BitBlt(hDestDC,//目的DC XDest, // 目的x坐标 YDest, // 目的y坐标 10, // 10, // 重绘区域的高和宽 hSrcDC, // 源DC 0, 0, SRCCOPY);// 指定操作方式计算雷的坐标（点击第一个扫雷的方块，查看坐标），需要注意边墙，如下图：

![](https://s3.cn-north-1.jdcloud-oss.com/shendengbucket1/2023-03-22-11-008cLSQRhyPC22nbko.png)

![](https://s3.cn-north-1.jdcloud-oss.com/shendengbucket1/2023-03-22-11-00g6dZZXZOXjU9tAq.png)

减去边墙的值：

-0x04=0x0C(12)-0x10(16)

0x27=0x37(55)-0x10(16)

得到坐标公式：x（XDest:12）=1*0x10(16)-0x04(4)，y（YDest:55）=1*0x10(16)+0x27(39)。

# 代码编写

通过以上大致的分析，可进行代码的编写了，

![](https://s3.cn-north-1.jdcloud-oss.com/shendengbucket1/2023-03-22-11-0022Uzn0kxxrAZdEAK.png)

![](https://s3.cn-north-1.jdcloud-oss.com/shendengbucket1/2023-03-22-11-00Sx8dO7yLyshsEXK.png)

![](https://s3.cn-north-1.jdcloud-oss.com/shendengbucket1/2023-03-22-11-00yThjcDI0VcYxCEK.png)

# 成果

![](https://s3.cn-north-1.jdcloud-oss.com/shendengbucket1/2023-03-22-11-01RciSVe1pn3NNBTP.png)

输入3landmine位置，获取出landmine（10墙壁，8Flandmine，0F无雷）

![](https://s3.cn-north-1.jdcloud-oss.com/shendengbucket1/2023-03-22-11-02R22ZG6m7ko8rZ7Lb.png)

输入2自动扫雷，标记雷并开出地图

![](https://s3.cn-north-1.jdcloud-oss.com/shendengbucket1/2023-03-22-11-02ELyWP11gOpWX22ZPH.png)

通过这个小项目，首先加强了对软件的一种逆向思维，如：看到这一种面板，大概猜到是用数组来实现的，其次雷的布局是随机生成的，然后通过动态调试可以了解实现方法（开发者的一种实现思路），可找到关键的基地址，几种状态（无雷，有雷，墙壁），最后编码阶段可以理解内存的操作，几个重要的API，FindWindow获取句柄，OpenProcess打开句柄，ReadProcessMemory读取内存信息，PostMessage异步消息模式，CloseHandle关闭句柄。其中有一些分析有误或不到位的地方还请拍砖。多逆向，分析代码有很多帮助，不仅可以拓宽自己编程与测试的思维及水平，还能发现，开发及利用程序中的漏洞或给程序打补丁等。希望小伙伴们在这条任重而道远的路上加油，互勉。</p>