WeGame协议加密机制如何逆向分析？

一、逆向分析WeGame通信协议的技术挑战概述

在对WeGame客户端进行深度逆向分析时，核心难点集中于其采用的混淆SSL/TLS信道 + Protobuf序列化 + 动态ECDH密钥协商机制。传统抓包工具如Wireshark虽能捕获TLS握手过程，但由于WeGame使用自定义协议头与非标准证书验证逻辑，导致无法直接解密流量内容。

此外，客户端频繁更新引入了更复杂的反调试（Anti-Debug）和完整性校验（Integrity Check）机制，使得静态分析与动态Hook均面临较高失败率。以下将从浅入深剖析该问题的技术路径。

二、常见技术问题分类

1. TLS层伪装与证书绑定：WeGame可能使用固定公钥指纹或自定义CA证书，绕过系统信任链，阻止MITM攻击。
2. 自定义协议头嵌套：在TLS记录层之上添加私有头部字段，用于标识消息类型、压缩方式或路由信息。
3. Protobuf结构未知：未获取.proto定义文件，难以解析二进制Payload语义。
4. ECDH运行时密钥交换：每次会话生成临时密钥对，主密钥由内存中计算得出，不落盘。
5. 反调试检测增强：利用NtQueryInformationProcess、IsDebuggerPresent、硬件断点检测等手段阻断调试器介入。
6. 代码混淆与加壳：使用VMProtect或自研虚拟机保护关键加密函数。
7. 内存加密入口动态变化：关键API（如CryptEncrypt、BCryptEncrypt）被重定向或模拟调用。

三、分析流程与解决方案框架

四、关键技术实现细节

// 示例：Hook BN_generate_prime_ex 触发点以捕获ECDH私钥生成
extern "C" BOOL WINAPI My_BN_generate_prime_ex(BIGNUM *bn, int bits, int safe,
    const BIGNUM *add, const BIGNUM *rem, BN_GENCB *cb) {
    
    // 记录调用堆栈
    CaptureStackTrace();

    // Dump 当前BIGNUM值（即生成的素数）
    char* hex_str = BN_bn2hex(bn);
    LogToFile("[ECDH] Private Key Segment: %s", hex_str);
    OPENSSL_free(hex_str);

    // 调用原函数
    return Original_BN_generate_prime_ex(bn, bits, safe, add, rem, cb);
}
    

五、MITM与内存分析协同策略

为避免触发反作弊机制，建议采用双机调试架构：宿主机运行WeGame客户端，目标机运行调试器并通过串口/网络连接控制。使用HookExplorer自动扫描导入函数hook点，并结合IDA的远程调试功能定位加密入口。

关键步骤包括：

• 在SSL_write和SSL_read处设置断点，观察输入缓冲区是否已包含明文Protobuf数据。
• 若否，则说明加密发生在TLS之前——需向上追溯至应用层序列化完成点。
• 利用内存断点监控ECDH共享密钥存储区域（通常位于堆上连续32字节块），配合IDA反汇编确认KDF函数逻辑。

六、动态密钥协商机制还原流程图

graph TD
    A[启动WeGame客户端] --> B{是否启用SSL?}
    B -- 是 --> C[加载BoringSSL动态库]
    C --> D[调用EC_KEY_new_by_curve_name(NID_secp256r1)]
    D --> E[生成临时私钥d & 公钥Q=d*G]
    E --> F[发送ClientHello + 自定义扩展携带Q]
    F --> G[接收ServerKeyExchange响应]
    G --> H[执行ECDH_compute_key计算共享密钥Z]
    H --> I[通过HKDF派生会话密钥KSMS]
    I --> J[初始化AES-GCM上下文]
    J --> K[TLS Record Layer 加密封装Protobuf数据]
    K --> L[发送至服务端]
    

七、应对反调试与完整性校验的高级技巧

现代WeGame版本常集成多层防护：

• PEB.BeingDebugged标志清除：通过修改FS:[0x30]绕过基础检测。
• SEH异常混淆：插入无效异常处理链干扰调试器流程。
• .text段CRC校验：定期校验关键函数字节码一致性。
• 时间差检测：测量代码执行周期判断是否存在单步跟踪。

推荐使用Cheat Engine + Lua脚本自动化Patch内存校验逻辑，或借助Unicorn引擎模拟执行关键片段以跳过耗时检测。