DaVilka

Поиск джампа

11 сообщений в этой теме

В игру атачится длл и ставит джамп 0xE9, по адресу 0x12345678. Вопрос, можно как то в чит енжине найти адреса джампов, которые ведут в адресное пространство этой длл?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Привет! Ты можешь узнать, по какому адресу DLL загрузилась в память. Получаем адреса (А0-А1), с которого и по который могут идти джампы. Далее ищем во всех модулях опкод jmp (0xE9)+XXXXXXX, где "XXXXXXX" - относительный адрес от местонахождения вызовы до А0-А1. Все, что влезает в пределы А0-А1 - прыгнет в адресное пространство DLL. 

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

:offtopic: Утащить что то решил поди.. 

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
5 minutes ago, LIRW said:

:offtopic: Утащить что то решил поди.. 

:offtopic: jmp обычно используется в хуках, но тут проще дизассемблером пройтись, как мне кажется. Вряд ли там сильно большой объем кода.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ребята, обращайте, пожалуйста, внимание на то, как создаются темы. Вот опять, игра в заголовке не указана. Тему закрываю, но я один все не успеваю делать.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 hour ago, Xipho said:

Ребята, обращайте, пожалуйста, внимание на то, как создаются темы. Вот опять, игра в заголовке не указана. Тему закрываю, но я один все не успеваю делать.

Это подраздел вопросов по утилитам и вопрос не обязательно должен к конкретной игре относиться.

1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
21 час назад, keng сказал:

Привет! Ты можешь узнать, по какому адресу DLL загрузилась в память. Получаем адреса (А0-А1), с которого и по который могут идти джампы. Далее ищем во всех модулях опкод jmp (0xE9)+XXXXXXX, где "XXXXXXX" - относительный адрес от местонахождения вызовы до А0-А1. Все, что влезает в пределы А0-А1 - прыгнет в адресное пространство DLL. 

если юзается автоматика - там будет переходник или похожая муть. проще всего аттач x32_dbg/64, потом ctrl+g туда VirtualProtect, поставить там брек, заинжектить длл и ловить все адреса.. конечно если длл ставит протект на кодосекцию 1 раз - и юзает свой код копирования - будет не так легко :D

 

 

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
25 minutes ago, gmz said:

если юзается автоматика - там будет переходник или похожая муть. проще всего аттач x32_dbg/64, потом ctrl+g туда VirtualProtect, поставить там брек, заинжектить длл и ловить все адреса.. конечно если длл ставит протект на кодосекцию 1 раз - и юзает свой код копирования - будет не так легко :D

 

 

Таки можно и дизасмом по дампу пройтись после инжекта, а можно тупо условным бряком, вариантов масса. Как по мне - проще всего dll-ку тупо в иде посмотреть, они обычно маленькие совсем и без заморочек, не умеют нынче ни антидамп, ни антиотладку, ни разные методы перехвата - всем пофиг.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 13.07.2017 в 10:43, keng сказал:

Таки можно и дизасмом по дампу пройтись после инжекта, а можно тупо условным бряком, вариантов масса. Как по мне - проще всего dll-ку тупо в иде посмотреть, они обычно маленькие совсем и без заморочек, не умеют нынче ни антидамп, ни антиотладку, ни разные методы перехвата - всем пофиг.

 

В 13.07.2017 в 10:18, gmz сказал:

если юзается автоматика - там будет переходник или похожая муть. проще всего аттач x32_dbg/64, потом ctrl+g туда VirtualProtect, поставить там брек, заинжектить длл и ловить все адреса.. конечно если длл ставит протект на кодосекцию 1 раз - и юзает свой код копирования - будет не так легко :D

 

 

 

В 12.07.2017 в 15:04, keng сказал:

:offtopic: jmp обычно используется в хуках, но тут проще дизассемблером пройтись, как мне кажется. Вряд ли там сильно большой объем кода.

Дизассемблер не вар, ибо длл полностью покрыта протектором, и игра частично. Первый вариант подходит, спс. Если бы у меня была возможность ставить бряки то я бы уже давно все нашел )

Изменено пользователем DaVilka
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 hour ago, DaVilka said:

 

 

Дизассемблер не вар, ибо длл полностью покрыта протектором, и игра частично. Первый вариант подходит, спс. Если бы у меня была возможность ставить бряки то я бы уже давно все нашел )

А в чем проблема снять прот с файла dll или снять защиту на бряки?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

добавь плаг ScyllaHide а ловить адреса будешь VirtualProtect в kernel32.dll - так что вероятно без проблем.

 

В 17.07.2017 в 18:16, keng сказал:

А в чем проблема снять прот с файла dll или снять защиту на бряки?

вероятно там [CENSORED]ище вроде вмпрот :D

 

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!


Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.


Войти сейчас