最近，《逃离塔尔科夫》（Escape From Tarkov）的开发商Battlestate Games聘请了BattlEye对联网的数据包实施加密，以使作弊者无法捕获这些数据包，无法对其进行解析并以雷达作弊等形式利用其优势。今天，我们将详细介绍如何在几个小时内破坏其加密。

分析

我们首先从分析“逃离塔尔科夫”本身开始。游戏使用Unity Engine，后者使用C＃（一种中间语言），这意味着您可以通过在ILDasm或dnSpy等工具中打开游戏来轻松查看源代码。我们为此分析选择的工具是dnSpy。

Unity Engine（如果不在IL2CPP选项下）将生成游戏文件并将其放置在GAME_NAME_DataManaged（在本例中为）下EscapeFromTarkov_DataManaged。此文件夹包含引擎使用的所有依赖项，包括包含游戏代码的Assembly-CSharp.dll文件，我们将其加载到dnSpy中，然后搜索字符串encryption，使我们进入了这里：

该网段位于名为EFT.ChannelCombined的类中，该类是处理网络的类，您可以通过传递给它的参数来辨别：

右键单击channelCombined.bool_2，这是他们记录的变量，以指示是否启用了加密，然后单击“分析”，向我们显示它已被2种方法引用：

第二个是我们当前所在的那个，因此，双击第一个，它就落在了这个上：

瞧！我们调用了BEClient.EncryptPacket，当您单击该方法时，它将带您到BEClient类，然后我们可以对其进行剖析并找到一个名为的方法DecryptServerPacket，该方法将调用一个BEClient_x64.dll名为的函数，该函数pfnDecryptServerPacket会将数据解密为用户分配的缓冲区，并将解密缓冲区的大小写入调用方提供的指针中。

pfnDecryptServerPacket不是由BattlEye导出的，也不是由EFT计算的，它实际上是由BattlEye的初始值设定项提供的，一旦被游戏调用。通过将BattlEye加载到我们自己的进程中，并复制了游戏的初始化方式，我们设法计算了RVA（相对虚拟地址）。

此程序的代码在此处。

BattlEye的分析

正如我们从上一节推论得出的那样，EFT调用BattlEye来完成其所有加密需求。因此，现在要解决的是反转本机代码，而不是IL，这要困难得多。

BattlEye使用称为VMProtect的保护程序，该保护程序可虚拟化和变异开发人员指定的段。要正确反转受此混淆器保护的二进制文件，您需要解压缩它。

解压缩就像在运行时转储映像一样简单。为此，我们将其加载到本地进程中，然后使用Scylla将其内存转储到磁盘。

在IDA中打开此文件，然后转到DecryptServerPacket例程将使我们找到一个如下所示的函数：

这就是所谓的a vmentry，它将a压vmkey入堆栈，然后调用a vminit作为虚拟机的处理程序。

这是棘手的部分：由于VMProtect已对其进行“虚拟化”，因此该函数中的指令仅可由程序本身理解。

对我们来说幸运的是，秘密俱乐部的同伴can1357制作了一个完全打破这种保护的工具，您可以在VTIL上找到它。

确定算法

VTIL生成的文件将功能从12195指令减少到265，从而大大简化了项目。反汇编中存在一些VMProtect例程，但是这些例程很容易识别并且可以忽略，加密从此处开始：

等效于伪C：

uint32_t flag_check = *(uint32_t*)(image_base + 0x4f8ac);

if (flag_check != 0x1b)
	goto 0x20e445;
else
	goto 0x20e52b;

VTIL使用自己的指令集，我将其翻译为psuedo-C以进一步简化它。

我们通过进入0x20e445，这是一个跳转到0x1a0a4a，分析了该例程，在此函数开始时，它们移动了sr12，这是的副本rcx（默认x64调用约定的第一个参数），并将其存储在堆栈上[rsp+0x68]，的xor键[rsp+0x58]。

然后0x1196fd，该例程跳转到，即：

等效于伪C：

uint32_t xor_key_1 = *(uint32_t*)(packet_data + 3) ^ xor_key;
(void(*)(uint8_t*, size_t, uint32_t))(0x3dccb7)(packet_data, packet_len, xor_key_1);

请注意，rsi是rcx和sr47是的副本rdx。由于这是x64，因此他们0x3dccb7按以下顺序调用参数：（rcx，rdx，r8）。vxcallq在VTIL中对我们来说幸运的是call into function, pause virtual exectuion then return into virtual machine，所以0x3dccb7不是虚拟功能！

在IDA中进入该功能并按F5将会弹出反编译器生成的伪代码：

对于一些完全没有意义的随机内联汇编，此代码看起来难以理解。一旦我们删除了这些指令，更改一些var类型，然后再次按F5键，代码就会看起来更好：

此功能使用滚动XOR密钥从第8个字节开始不连续地以4字节块为单位解密数据包。

一旦我们继续查看程序集，我们就会发现它在这里调用了另一个例程：

在x64汇编中等效：

mov t225, dword ptr [rsi+0x3]
mov t231, byte ptr [rbx]
add t231, 0xff ; uhoh, overflow

; the following is psuedo
mov [$flags], t231 u< rbx:8

not t231

movsx t230, t231
mov [$flags+6], t230 == 0
mov [$flags+7], t230 < 0

movsx t234, rbx
mov [$flags+11], t234 < 0
mov t236, t234 < 1
mov t235, [$flags+11] != t236

and [$flags+11], t235

mov rdx, sr46 ; sr46=rdx
mov r9, r8

sbb eax, eax ; this will result in the CF (carry flag) being written to EAX

mov r8, t225
mov t244, rax
and t244, 0x11 ; the value of t244 will be determined by the sbb from above, it'll be either -1 or 0 
shr r8, t244 ; if the value of this shift is a 0, that means nothing will happen to the data, otherwise it'll shift it to the right by 0x11

mov rcx, rsi
mov [rsp+0x20], r9
mov [rsp+0x28], [rsp+0x68]

call 0x3dce60

在继续剖析其调用的函数之前，我们必须得出以下结论：由于未设置进位标志，导致移位无意义，导致sbb指令的返回值为0 ，这意味着我们走错了路。

如果我们寻找对第一个例程的引用0x1196fd，我们会发现它实际上是再次被引用的，这次是使用另一个键！

这意味着第一个键实际上是红色鲱鱼，而第二个键很可能是正确的。尼斯巴斯蒂安！

现在，我们已经找到了真正的xor键和的参数0x3dce60，它们的顺序是：（rcx，rdx，r8，r9，rsp + 0x20，rsp + 0x28）。

我们在IDA中转到该功能，按F5键，它非常可读：

我们知道参数的顺序，它们的类型及其含义，剩下的唯一就是将其转换为实际的代码，我们已经很好地完成了此工作，并将其包装在要点中。