Перейти к содержанию

[Сossacks 3] Поиск байт


IzerodayI

Рекомендуемые сообщения

Всем привет ! возник вопрос по поиску байт 

я делал так :

1 находил значение еды https://cloud.mail.ru/public/4baP/rDVE7CsuQ

2 изменил его https://cloud.mail.ru/public/2uaL/S3qeVy3Pg и проверил https://cloud.mail.ru/public/5mMQ/cchfmCRvd (все хорошо)

3 ставлю на адрес чтение обращающихся инструкций (f5) и получаю это https://cloud.mail.ru/public/Mbtb/ZTc4mEnfA

4 и как мне кажется вот эти байты 

aobscan(Resources,81 38 FF E0 F5 05)
81 38 FF E0 F5 05

примерно взяты отсюда https://cloud.mail.ru/public/Kruv/DzV4Gn9gn (выделил красным)(возможно не угадал с инструкцией)

возможно и эта инструкция https://cloud.mail.ru/public/F8KJ/pyoTDV6jm ,

я могу ошибаться 

 

Ссылка на комментарий
Поделиться на другие сайты

  • ReWanet изменил название на Поиск байт
37 минут назад, IzerodayI сказал:

Всем привет ! возник вопрос по поиску байт

Там есть кнопочка "Show disassembler" и там есть блок "Bytes" и ты берешь нужные байты тебе.

Пример один:

Скрытый текст

one.thumb.png.693d40c1cf889b0d7c895a3f3df59bfd.png

Допустим нужная нам инструкция это "push ebp" ( синим выделено ). На нужно сделать сигнатурку для aob скана мы пишем:" 55 8b ec 83 c4 ec 53 56 57 33 c0 89 45 ec b8 e0 7d 71 00 e8 28 e5 cd ff ". Прогоняем ее в CE ( поиск Array of Bytes и квадрат в Writable ) и если единственная то юзаем ее. Но игра может обновиться все это и по этому лучше улучшим сигнатуру и пишем:" 55 8b xx 83 xx xx 53 56 57 33 xx 89 xx xx b8 xx xx xx xx e8 xx xx xx xx 33 xx 55 68 xx xx xx xx 64 xx xx 64 xx xx a1 xx xx xx xx e8 xx xx xx xx 84". Прогоняем в CE и если единственная то юзаем ее.
Пример два:

Скрытый текст

two.thumb.png.fcd9fbee12cd35112c3401c5068ea9e1.png

Допустим нужная нам инструкция это "push ebp" ( синим выделено ). На нужно сделать сигнатурку для aob скана мы пишем:" 89 02 c3 8d 40 00 55 8b ec 83 c4 ec 53 56 57 33 c0 89  ". Прогоняем ее в CE ( поиск Array of Bytes и квадрат в Writable ) и если единственная то юзаем ее. Но как видим нужная нам инструкция находится в сигнатуре на первой по этому мы в скрипте запишем чтоб наш код прыгал на нужную нам инструкцию:

[ENABLE]
aob(89 02 c3 8d 40 00 55 8b ec 83 c4 ec 53 56 57 33 c0 89)

Resources+6:

jmp newmem

db 90

return:

 

[DISABLE]

Resources+6:

db 55 8b ec 83 c4 ec


( пример )
+6 - означает что мы прыгнем на 6 байт вперед от начала.
Но игра может обновиться все это и по этому лучше улучшим сигнатуру и пишем:"a1 xx xx xx xx e8 xx xx xx xx 8b xx xx xx xx xx 89 xx c3 8d xx xx 55 8b xx 83 xx xx 53 56 57 33 xx 89 xx xx b8 xx xx xx xx e8 xx xx xx xx 33 xx 55 68 ". Прогоняем в CE и если единственная то юзаем ее.Но как видим нужная нам инструкция находится в сигнатуре на первой по этому мы в скрипте запишем чтоб наш код прыгал на нужную нам инструкцию:

[ENABLE]
aob(a1 xx xx xx xx e8 xx xx xx xx 8b xx xx xx xx xx 89 xx c3 8d xx xx 55 8b xx 83 xx xx 53 56 57 33 xx 89 xx xx b8 xx xx xx xx e8 xx xx xx xx 33 xx 55 68)

Resources+22:

jmp newmem

db 90

return:

 

[DISABLE]

Resources+2:

db 55 8b ec 83 c4 ec


( пример )
+22 - означает что мы прыгнем на 22 байта вперед от начала.

 

Вот мы и научились делать сигнатуры.

 

P.S. не обязательно брать только первые байты просто это мне так удобно

Опять инет пропал :(

 

  • Плюс 1
Ссылка на комментарий
Поделиться на другие сайты

8 часов назад, uhx сказал:

Скачай себе уже какой-нибудь Sharex и выкладывай нормально скриншоты (через прямой линк). На мейле еще и не работает ничего.

Извини , я их переместил в другю папку в облаке и видать ссылки перестали работать 

https://cloud.mail.ru/public/EUCJ/YKmoRLybi

https://cloud.mail.ru/public/ECDv/ZCXj2ts4J

https://cloud.mail.ru/public/7jQe/xoD4VrnDV

https://cloud.mail.ru/public/ESxd/JqCDdUfdA

https://cloud.mail.ru/public/L1dj/zNXh4KG2u

6  https://cloud.mail.ru/public/Lukm/zyntRGSiN

(новые)

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Xipho сказал:

Про название игры опять было успешно забыто?

игра называется cossacks 3  , просто я создал тему в cheat engine и не думал , что надо указывать игру 

Ссылка на комментарий
Поделиться на другие сайты

7 минут назад, IzerodayI сказал:

игра называется cossacks 3  , просто я создал тему в cheat engine и не думал , что надо указывать игру 

Когда задаёшь вопрос по конкретной игре - нужно указать её название.

Ссылка на комментарий
Поделиться на другие сайты

1 минуту назад, Garik66 сказал:

Когда задаёшь вопрос по конкретной игре - нужно указать её название.

я правильно вышел на инструкции , как ты говорил или нет ? 

Ссылка на комментарий
Поделиться на другие сайты

10 часов назад, IzerodayI сказал:

4 и как мне кажется вот эти байты 


81 38 FF E0 F5 05

примерно взяты отсюда

Нет.

Как я делал тот скрипт:

1. Вручную сделал сигнатуры из скана, который ты кидал в чате. (Так как играть в неё я не умею и времени на изучения интерфейса игры у меня нет и решил, что ты нашёл всё верно).

2. С помощью скана сигнатур. нашёл адреса (после удлинения сигны осталось три адреса).

3. Взял первый из адресов, который менял значения ресурсов в игре (может я ошибся здесь и это видимое значение).

4. Поставил бряк, на выбранный мною адрес.

5. Выбрал инструкцию, которая работает только с адресами ресурсов.

6. Написал стандартный СЕ-ный скрипт из этой инструкции.

Так что сигнатуру, которую ты здесь указал я не делал вручную, а получил автоматически из этой инструкции:

074E2DDB: 81 38 FF E0 F5 05  -  cmp [eax],05F5E0FF

для чего я всегда оставляю ЛОГИ в скрипте ( и для чего их добавил в скрипт Дарк Байт).

Посмотри внимательно вот эти байты. ;) 

Ссылка на комментарий
Поделиться на другие сайты

6 часов назад, Garik66 сказал:

1. Вручную сделал сигнатуры

2. С помощью скана сигнатур.

эти три значения я нахожу через поиск 

https://cloud.mail.ru/public/EUCJ/YKmoRLybi

и проверяю , что работает (там их больше 3 , просто нужно дольше отсеивать) (1 адрес экранный)

https://cloud.mail.ru/public/ECDv/ZCXj2ts4J

https://cloud.mail.ru/public/7jQe/xoD4VrnDV

6 часов назад, Garik66 сказал:

4. Поставил бряк, на выбранный мною адрес.

я тоже ставлю на выбранный адрес бряк (f5)

и получаю такое кол-во инструкций 

https://cloud.mail.ru/public/ESxd/JqCDdUfdA

 

PS 

я нашел , что ты использовал , это экранное значение 

скрин той инструкции (и те байты)

https://cloud.mail.ru/public/Hcy7/FskkocbdV

 

я на глаз так не умею определять , есть ли тут инструкция, которая работает с ресурсами (просто они все одинаковые  mov ecx,[ecx]) --->https://cloud.mail.ru/public/ESxd/JqCDdUfdA

Ссылка на комментарий
Поделиться на другие сайты

13 минуты назад, IzerodayI сказал:

эти три значения я нахожу через поиск 

Цитируем сообщения не полностью!
https://gamehacklab.ru/topic/5470-в-угол/

 

13 минуты назад, IzerodayI сказал:

я на глаз так не умею определять

Слушай тебе уже был дан ответ: поучись.


Почему ты скидываешь не скидываешь скрины еще с окна дизассемблера ( это полезнее )?
Мы так же не глаз не может дать тебе ответ что именно работает с нужным тебе адресом. Жмешь правой кнопкой мыши и жмешь "Check if found opcodes also access other addresses ( max 8 )" или ручками заходишь и ставишь бряки на каждую инструкцию и смотришь.

Ссылка на комментарий
Поделиться на другие сайты

30 минут назад, what228 сказал:

"Check if found opcodes also access other addresses ( max 8 )

Спасибо за совет , и в правду обнаружил , что работает инструкция с моим адресом https://cloud.mail.ru/public/CGFj/SreEXH9UX (и первая инструкция тоже работает с моим адресом)

Но там есть и не мои адреса....

 

 

PS  буду дальше думать, что делать

PSS да они там все с моим адресом работают и не только....

Изменено пользователем IzerodayI
Ссылка на комментарий
Поделиться на другие сайты

1 минуту назад, IzerodayI сказал:

Спасибо за совет

У тебя будут 6 адресов. Из твоего скрина 3 интрсукции работают со всеми и 3 только с тобой.

Ссылка на комментарий
Поделиться на другие сайты

×
×
  • Создать...

Важная информация

Находясь на нашем сайте, Вы автоматически соглашаетесь соблюдать наши Условия использования.