Перейти к содержанию

Поиск джампа


DaVilka

Рекомендуемые сообщения

В игру атачится длл и ставит джамп 0xE9, по адресу 0x12345678. Вопрос, можно как то в чит енжине найти адреса джампов, которые ведут в адресное пространство этой длл?

Ссылка на комментарий
Поделиться на другие сайты

Привет! Ты можешь узнать, по какому адресу DLL загрузилась в память. Получаем адреса (А0-А1), с которого и по который могут идти джампы. Далее ищем во всех модулях опкод jmp (0xE9)+XXXXXXX, где "XXXXXXX" - относительный адрес от местонахождения вызовы до А0-А1. Все, что влезает в пределы А0-А1 - прыгнет в адресное пространство DLL. 

Ссылка на комментарий
Поделиться на другие сайты

5 minutes ago, LIRW said:

:offtopic: Утащить что то решил поди.. 

:offtopic: jmp обычно используется в хуках, но тут проще дизассемблером пройтись, как мне кажется. Вряд ли там сильно большой объем кода.

Ссылка на комментарий
Поделиться на другие сайты

Ребята, обращайте, пожалуйста, внимание на то, как создаются темы. Вот опять, игра в заголовке не указана. Тему закрываю, но я один все не успеваю делать.

Ссылка на комментарий
Поделиться на другие сайты

  • Xipho закрыл тема
  • keng открыл тема
1 hour ago, Xipho said:

Ребята, обращайте, пожалуйста, внимание на то, как создаются темы. Вот опять, игра в заголовке не указана. Тему закрываю, но я один все не успеваю делать.

Это подраздел вопросов по утилитам и вопрос не обязательно должен к конкретной игре относиться.

  • Плюс 1
Ссылка на комментарий
Поделиться на другие сайты

21 час назад, keng сказал:

Привет! Ты можешь узнать, по какому адресу DLL загрузилась в память. Получаем адреса (А0-А1), с которого и по который могут идти джампы. Далее ищем во всех модулях опкод jmp (0xE9)+XXXXXXX, где "XXXXXXX" - относительный адрес от местонахождения вызовы до А0-А1. Все, что влезает в пределы А0-А1 - прыгнет в адресное пространство DLL. 

если юзается автоматика - там будет переходник или похожая муть. проще всего аттач x32_dbg/64, потом ctrl+g туда VirtualProtect, поставить там брек, заинжектить длл и ловить все адреса.. конечно если длл ставит протект на кодосекцию 1 раз - и юзает свой код копирования - будет не так легко :D

 

 

Ссылка на комментарий
Поделиться на другие сайты

25 minutes ago, gmz said:

если юзается автоматика - там будет переходник или похожая муть. проще всего аттач x32_dbg/64, потом ctrl+g туда VirtualProtect, поставить там брек, заинжектить длл и ловить все адреса.. конечно если длл ставит протект на кодосекцию 1 раз - и юзает свой код копирования - будет не так легко :D

 

 

Таки можно и дизасмом по дампу пройтись после инжекта, а можно тупо условным бряком, вариантов масса. Как по мне - проще всего dll-ку тупо в иде посмотреть, они обычно маленькие совсем и без заморочек, не умеют нынче ни антидамп, ни антиотладку, ни разные методы перехвата - всем пофиг.

Ссылка на комментарий
Поделиться на другие сайты

В 13.07.2017 в 10:43, keng сказал:

Таки можно и дизасмом по дампу пройтись после инжекта, а можно тупо условным бряком, вариантов масса. Как по мне - проще всего dll-ку тупо в иде посмотреть, они обычно маленькие совсем и без заморочек, не умеют нынче ни антидамп, ни антиотладку, ни разные методы перехвата - всем пофиг.

 

В 13.07.2017 в 10:18, gmz сказал:

если юзается автоматика - там будет переходник или похожая муть. проще всего аттач x32_dbg/64, потом ctrl+g туда VirtualProtect, поставить там брек, заинжектить длл и ловить все адреса.. конечно если длл ставит протект на кодосекцию 1 раз - и юзает свой код копирования - будет не так легко :D

 

 

 

В 12.07.2017 в 15:04, keng сказал:

:offtopic: jmp обычно используется в хуках, но тут проще дизассемблером пройтись, как мне кажется. Вряд ли там сильно большой объем кода.

Дизассемблер не вар, ибо длл полностью покрыта протектором, и игра частично. Первый вариант подходит, спс. Если бы у меня была возможность ставить бряки то я бы уже давно все нашел )

Изменено пользователем DaVilka
Ссылка на комментарий
Поделиться на другие сайты

1 hour ago, DaVilka said:

 

 

Дизассемблер не вар, ибо длл полностью покрыта протектором, и игра частично. Первый вариант подходит, спс. Если бы у меня была возможность ставить бряки то я бы уже давно все нашел )

А в чем проблема снять прот с файла dll или снять защиту на бряки?

Ссылка на комментарий
Поделиться на другие сайты

добавь плаг ScyllaHide а ловить адреса будешь VirtualProtect в kernel32.dll - так что вероятно без проблем.

 

В 17.07.2017 в 18:16, keng сказал:

А в чем проблема снять прот с файла dll или снять защиту на бряки?

вероятно там [CENSORED]ище вроде вмпрот :D

 

Ссылка на комментарий
Поделиться на другие сайты

×
×
  • Создать...

Важная информация

Находясь на нашем сайте, Вы автоматически соглашаетесь соблюдать наши Условия использования.