DaVilka Опубликовано 12 июля, 2017 Поделиться Опубликовано 12 июля, 2017 В игру атачится длл и ставит джамп 0xE9, по адресу 0x12345678. Вопрос, можно как то в чит енжине найти адреса джампов, которые ведут в адресное пространство этой длл? Ссылка на комментарий Поделиться на другие сайты Поделиться
keng Опубликовано 12 июля, 2017 Поделиться Опубликовано 12 июля, 2017 Привет! Ты можешь узнать, по какому адресу DLL загрузилась в память. Получаем адреса (А0-А1), с которого и по который могут идти джампы. Далее ищем во всех модулях опкод jmp (0xE9)+XXXXXXX, где "XXXXXXX" - относительный адрес от местонахождения вызовы до А0-А1. Все, что влезает в пределы А0-А1 - прыгнет в адресное пространство DLL. Ссылка на комментарий Поделиться на другие сайты Поделиться
LIRW Опубликовано 12 июля, 2017 Поделиться Опубликовано 12 июля, 2017 Утащить что то решил поди.. Ссылка на комментарий Поделиться на другие сайты Поделиться
keng Опубликовано 12 июля, 2017 Поделиться Опубликовано 12 июля, 2017 5 minutes ago, LIRW said: Утащить что то решил поди.. jmp обычно используется в хуках, но тут проще дизассемблером пройтись, как мне кажется. Вряд ли там сильно большой объем кода. Ссылка на комментарий Поделиться на другие сайты Поделиться
Xipho Опубликовано 13 июля, 2017 Поделиться Опубликовано 13 июля, 2017 Ребята, обращайте, пожалуйста, внимание на то, как создаются темы. Вот опять, игра в заголовке не указана. Тему закрываю, но я один все не успеваю делать. Ссылка на комментарий Поделиться на другие сайты Поделиться
keng Опубликовано 13 июля, 2017 Поделиться Опубликовано 13 июля, 2017 1 hour ago, Xipho said: Ребята, обращайте, пожалуйста, внимание на то, как создаются темы. Вот опять, игра в заголовке не указана. Тему закрываю, но я один все не успеваю делать. Это подраздел вопросов по утилитам и вопрос не обязательно должен к конкретной игре относиться. 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
gmz Опубликовано 13 июля, 2017 Поделиться Опубликовано 13 июля, 2017 21 час назад, keng сказал: Привет! Ты можешь узнать, по какому адресу DLL загрузилась в память. Получаем адреса (А0-А1), с которого и по который могут идти джампы. Далее ищем во всех модулях опкод jmp (0xE9)+XXXXXXX, где "XXXXXXX" - относительный адрес от местонахождения вызовы до А0-А1. Все, что влезает в пределы А0-А1 - прыгнет в адресное пространство DLL. если юзается автоматика - там будет переходник или похожая муть. проще всего аттач x32_dbg/64, потом ctrl+g туда VirtualProtect, поставить там брек, заинжектить длл и ловить все адреса.. конечно если длл ставит протект на кодосекцию 1 раз - и юзает свой код копирования - будет не так легко Ссылка на комментарий Поделиться на другие сайты Поделиться
keng Опубликовано 13 июля, 2017 Поделиться Опубликовано 13 июля, 2017 25 minutes ago, gmz said: если юзается автоматика - там будет переходник или похожая муть. проще всего аттач x32_dbg/64, потом ctrl+g туда VirtualProtect, поставить там брек, заинжектить длл и ловить все адреса.. конечно если длл ставит протект на кодосекцию 1 раз - и юзает свой код копирования - будет не так легко Таки можно и дизасмом по дампу пройтись после инжекта, а можно тупо условным бряком, вариантов масса. Как по мне - проще всего dll-ку тупо в иде посмотреть, они обычно маленькие совсем и без заморочек, не умеют нынче ни антидамп, ни антиотладку, ни разные методы перехвата - всем пофиг. Ссылка на комментарий Поделиться на другие сайты Поделиться
DaVilka Опубликовано 17 июля, 2017 Автор Поделиться Опубликовано 17 июля, 2017 (изменено) В 13.07.2017 в 10:43, keng сказал: Таки можно и дизасмом по дампу пройтись после инжекта, а можно тупо условным бряком, вариантов масса. Как по мне - проще всего dll-ку тупо в иде посмотреть, они обычно маленькие совсем и без заморочек, не умеют нынче ни антидамп, ни антиотладку, ни разные методы перехвата - всем пофиг. В 13.07.2017 в 10:18, gmz сказал: если юзается автоматика - там будет переходник или похожая муть. проще всего аттач x32_dbg/64, потом ctrl+g туда VirtualProtect, поставить там брек, заинжектить длл и ловить все адреса.. конечно если длл ставит протект на кодосекцию 1 раз - и юзает свой код копирования - будет не так легко В 12.07.2017 в 15:04, keng сказал: jmp обычно используется в хуках, но тут проще дизассемблером пройтись, как мне кажется. Вряд ли там сильно большой объем кода. Дизассемблер не вар, ибо длл полностью покрыта протектором, и игра частично. Первый вариант подходит, спс. Если бы у меня была возможность ставить бряки то я бы уже давно все нашел ) Изменено 17 июля, 2017 пользователем DaVilka Ссылка на комментарий Поделиться на другие сайты Поделиться
keng Опубликовано 17 июля, 2017 Поделиться Опубликовано 17 июля, 2017 1 hour ago, DaVilka said: Дизассемблер не вар, ибо длл полностью покрыта протектором, и игра частично. Первый вариант подходит, спс. Если бы у меня была возможность ставить бряки то я бы уже давно все нашел ) А в чем проблема снять прот с файла dll или снять защиту на бряки? Ссылка на комментарий Поделиться на другие сайты Поделиться
gmz Опубликовано 19 июля, 2017 Поделиться Опубликовано 19 июля, 2017 добавь плаг ScyllaHide а ловить адреса будешь VirtualProtect в kernel32.dll - так что вероятно без проблем. В 17.07.2017 в 18:16, keng сказал: А в чем проблема снять прот с файла dll или снять защиту на бряки? вероятно там [CENSORED]ище вроде вмпрот Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения