6月1号前夕王者绘制透视，我收到了《王者荣耀助理》的透视剧本，但我并没有打算看它。 节日那天闲着没事，就尝试着配置一下。 经过测试，我发现它非常稳定。 后续使用需要付费。

这个助手通过GG修改器读取内存数据并发送给客户端渲染对手的位置（使用浮动层）。 不修改原有游戏内存即可实现全画面视角。 毕竟修改内存会带来各种风险。

使用屏幕截图

毕竟因为是付费的，一天5块钱，可不便宜。 我想过尝试破解它。 研究了很久，终于搞定了。

这里简单记录一下这个过程。

文本辅助软件主程序

主渲染绘图主程序是绘制对方视野的应用程序的付费入口。 您需要通过购买卡代码来激活它，所以从这里开始。

测试发现需要输入完整的16位卡密码。 客户将验证长度并提交任意16位长度的卡密码。 具体内容可以通过抓包软件正常看到。

抓包并查看

抓包软件利用VPN原理来过滤数据并抓包。 优点是不需要使用其他设备，缺点​​是不能修改响应结果。 经过一番挣扎，我放弃了。

最后替换为FD，对其进行拦截、抓包。

这里可以清楚的看到请求包和返回包，HTTP没有加密。 参数中存在 IMEI 应该绑定设备和平精英外挂，所以我不会研究这个。

代理ID为上下级分配关系，可以忽略。

签到界面是注册你的卡密，即激活和销毁卡密，然后卡密就会失效。

登录接口是通过对注册接口返回的数据进行一系列操作得到的，用于验证。

通过FD软件抓包

此时，我们切换到FD软件。

在菜单栏中选择以下位置以允许监控 LAN 上的其他设备。

工具 -

手机和PC连接同一局域网，WIFI设置中的代理选项设置为PC的ID和FD的端口（8888）。

配置完成后，尝试在手机上访问网页。 正常情况下，FD软件会有数据包流动。

此时回包拦截已启用，即如下菜单。

规则 - - 之后（检查）

这时，打开手机的辅助软件。 如果已经打开，请先将其关闭，然后重新打开。

抓包技巧：

为了避免数据包混乱，建议在开启之前清除FD数据包列表。 如果已开启响应包拦截，请点击GO释放​​，然后清除。 确保手机上没有其他软件发送数据包，可以先关闭。

进入辅助软件后，默认会发送一个验证包。 它是由软件本身发送的，而不是通过单击激活按钮发送的。

破解是通过拦截数据包并修改响应结果来实现的。

点击左侧登录包，右侧查看详细信息。

尝试修改过期时间时，提交完成（Run to），客户端提示验证失败。

看来单纯通过修改过期时间是无法实现的。 这时候就像知道了验证逻辑是什么一样。

反编译APK解压

一侧挂有扫描仪，以查看服务器是否存在漏洞。 如果你拿到了服务器，你就会知道一切。

在提取APK的同时，通过反编译来检查其中的逻辑。

使用.bat实现并解压

.bat d wzzy2.apk

解压后，在资源中寻找我们刚才抓到的URL HOST，或者特殊的关键字。

我通过++搜索HOST，找到了他的逻辑验证过程。

主要代码在main.lua中

可以看到这个apk主要封装了Lua脚本。 这个资源目录里还有各个角色的头像，无法识别的就用红色背景代替。

md5.lua是一个通用的Lua验证包，所以我不会再详细了解它。

地址：

LUA脚本反编译和解包

打开main.lua，发现还是加密的。

我挣扎了很长时间，尝试了各种解密工具都没有成功。 最后通过lua反编译工具成功解密。

下载地址：/files//

同样，也需要JAVA环境。

将 main.lua 和下载的 ..jar 移动到同一目录。

通过命令行执行，

java -jar .jar main.lua > 1.lua

分析登录逻辑

打开生成的文件1.lua

我们很快就找到了登录验证的地方。

我们简单分析一下其中的逻辑。 大概有这么几个步骤：

输入登录验证逻辑回调HTTP响应包，将响应字符串打散形成的数组必须构造5个以上的成员才能构建加密验证HASH（重要）。 第一个参数必须大于0，（回一句，我在测试的时候，在这里迷惑了很久）

这里我们不再一步步测试，而是直接使用第5步的逻辑流程来分析验证。

md5.sumhexa(riqi[1] .. riqi[2] .. riqi[3] .. "cnds…… aoxi" .. os.date("%d%H"))

这里的代码逻辑是串联数组成员1、2、3，然后串联固定字符“cnds...aoxi”，然后串联时间字符，如0615（X月6日15点）。

最后对拼接后的字符串进行MD5检查，得到32位小写字符。

这时我们尝试刚才FD的抓包步骤，清除数据包，重新打开软件，抓包。

我们将一整串字符复制到下面的JS脚本中并运行进行验证。

生成验证哈希

注意复制的响应包体第一个成员的位置，也就是图中的82305，必须是大于0的正数。并且time的第三个成员的时间大于当前时间，可以修改到2099。其他参数可以保持不变。

function strpad(str,length){ return (str/Math.pow(10,length)).toFixed(length).substr(2); } var response =82305,99xxxxxxxx6,2019/6/13 22:28:41,598exxxxxxxxxxxxxx0c,授权到期 2019/6/13 22:28:41 必须在权限设置里把王者荣耀读取应用列表的权限关掉.注意误操作引起 GG 图标出现加速功能必须马上关闭游戏.否则必封号！,86xxxxx3,30,32,0,0,; var data = response.split(,); data[0]+data[1]+data[2]+"cnxxxxxxxxxxxxxoxi"+strpad(new Date().getDate(),2)+strpad(new Date().getHours(),2)

我们复制最终的字符串并使用MD5对其进行加密

最终得到的MD5校验和为：

再次尝试抓包并修改

我们将其替换为响应文本中的第四个数组成员。 然后将整个替换的响应文本粘贴到 FD 中并提交响应。

对了，点击GO释放​​抓包，关闭修改响应包的选项。

规则 - -（勾选）

破解成功

这时，返回手机查看辅助软件。 已成功激活。 点击开启辅助进入游戏，配置GG修改器实现视角。

至此，通过修改过期时间的破解就结束了。 唯一不方便的是辅助无法关闭。 如需关闭，需要再次抓包验证。 但手机找不到按照规则自动抓包、拦截数据包的软件。

如果是这样的话，那就方便多了。 简单记录一下王者绘制透视，方便其他人参考，关键部分已经打码了。

（超过）