连连看分析

一、去广告分析

1. 分析程序，获取程序的基本信息

使用PEID进行扫描，获取一下进程的信息（编译环境）

2. 运行程序，测试程序

执行qqllk.exe后弹出登录界面，执行登录界面后还有一层广告，执行广告后才可以运行程序。

点击“开始游戏”，弹出一个窗口：

查看任务管理器发现第二个连连看进程qq：

点击“继续”，弹出游戏界面：

查看任务管理器发现游戏进程kyodai.exe

分析：

（1）可以发现其实时进程执行流程：qqllk.exe -> qqllk.ocx -> kyodai.exe。

（2）发现真正的程序后，直接双击运行kyodai.exe，然后程序崩溃。猜测游戏文件被改动过。

（3）我们直接将控件qqlll.ocx后缀该为exe后双击发现能够运行，我们可以直接分析这个文件。

将qqlll.ocx拖入火绒剑监视其动作行为

火绒剑监测到qqllk.exe对kyodai.exe进行了写入操作，我们使用x64dbg打开kyodai.exe，比对如上4个改动地址，发现在0x0043817A处数据不一致，猜测原游戏文件该地址数据为0，被人改动后，再由广告程序修复。

所以我们将

0x0043817A处01改为00并保存exe。双击kyodai.exe，发现进入游戏，去广告完成。

二、辅助制作

待续…