IzerodayI Опубликовано 6 сентября, 2017 Поделиться Опубликовано 6 сентября, 2017 Всем привет ! возник вопрос по поиску байт я делал так : 1 находил значение еды https://cloud.mail.ru/public/4baP/rDVE7CsuQ 2 изменил его https://cloud.mail.ru/public/2uaL/S3qeVy3Pg и проверил https://cloud.mail.ru/public/5mMQ/cchfmCRvd (все хорошо) 3 ставлю на адрес чтение обращающихся инструкций (f5) и получаю это https://cloud.mail.ru/public/Mbtb/ZTc4mEnfA 4 и как мне кажется вот эти байты aobscan(Resources,81 38 FF E0 F5 05) 81 38 FF E0 F5 05 примерно взяты отсюда https://cloud.mail.ru/public/Kruv/DzV4Gn9gn (выделил красным)(возможно не угадал с инструкцией) возможно и эта инструкция https://cloud.mail.ru/public/F8KJ/pyoTDV6jm , я могу ошибаться Ссылка на комментарий Поделиться на другие сайты Поделиться
ReWanet Опубликовано 6 сентября, 2017 Поделиться Опубликовано 6 сентября, 2017 37 минут назад, IzerodayI сказал: Всем привет ! возник вопрос по поиску байт Там есть кнопочка "Show disassembler" и там есть блок "Bytes" и ты берешь нужные байты тебе. Пример один: Скрытый текст Допустим нужная нам инструкция это "push ebp" ( синим выделено ). На нужно сделать сигнатурку для aob скана мы пишем:" 55 8b ec 83 c4 ec 53 56 57 33 c0 89 45 ec b8 e0 7d 71 00 e8 28 e5 cd ff ". Прогоняем ее в CE ( поиск Array of Bytes и квадрат в Writable ) и если единственная то юзаем ее. Но игра может обновиться все это и по этому лучше улучшим сигнатуру и пишем:" 55 8b xx 83 xx xx 53 56 57 33 xx 89 xx xx b8 xx xx xx xx e8 xx xx xx xx 33 xx 55 68 xx xx xx xx 64 xx xx 64 xx xx a1 xx xx xx xx e8 xx xx xx xx 84". Прогоняем в CE и если единственная то юзаем ее. Пример два: Скрытый текст Допустим нужная нам инструкция это "push ebp" ( синим выделено ). На нужно сделать сигнатурку для aob скана мы пишем:" 89 02 c3 8d 40 00 55 8b ec 83 c4 ec 53 56 57 33 c0 89 ". Прогоняем ее в CE ( поиск Array of Bytes и квадрат в Writable ) и если единственная то юзаем ее. Но как видим нужная нам инструкция находится в сигнатуре на первой по этому мы в скрипте запишем чтоб наш код прыгал на нужную нам инструкцию: [ENABLE] aob(89 02 c3 8d 40 00 55 8b ec 83 c4 ec 53 56 57 33 c0 89) Resources+6: jmp newmem db 90 return: [DISABLE] Resources+6: db 55 8b ec 83 c4 ec ( пример )+6 - означает что мы прыгнем на 6 байт вперед от начала. Но игра может обновиться все это и по этому лучше улучшим сигнатуру и пишем:"a1 xx xx xx xx e8 xx xx xx xx 8b xx xx xx xx xx 89 xx c3 8d xx xx 55 8b xx 83 xx xx 53 56 57 33 xx 89 xx xx b8 xx xx xx xx e8 xx xx xx xx 33 xx 55 68 ". Прогоняем в CE и если единственная то юзаем ее.Но как видим нужная нам инструкция находится в сигнатуре на первой по этому мы в скрипте запишем чтоб наш код прыгал на нужную нам инструкцию: [ENABLE] aob(a1 xx xx xx xx e8 xx xx xx xx 8b xx xx xx xx xx 89 xx c3 8d xx xx 55 8b xx 83 xx xx 53 56 57 33 xx 89 xx xx b8 xx xx xx xx e8 xx xx xx xx 33 xx 55 68) Resources+22: jmp newmem db 90 return: [DISABLE] Resources+2: db 55 8b ec 83 c4 ec ( пример )+22 - означает что мы прыгнем на 22 байта вперед от начала. Вот мы и научились делать сигнатуры. P.S. не обязательно брать только первые байты просто это мне так удобно Опять инет пропал 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
uhx Опубликовано 6 сентября, 2017 Поделиться Опубликовано 6 сентября, 2017 Скачай себе уже какой-нибудь Sharex и выкладывай нормально скриншоты (через прямой линк). На мейле еще и не работает ничего. 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Xipho Опубликовано 7 сентября, 2017 Поделиться Опубликовано 7 сентября, 2017 Про название игры опять было успешно забыто? Ссылка на комментарий Поделиться на другие сайты Поделиться
IzerodayI Опубликовано 7 сентября, 2017 Автор Поделиться Опубликовано 7 сентября, 2017 8 часов назад, uhx сказал: Скачай себе уже какой-нибудь Sharex и выкладывай нормально скриншоты (через прямой линк). На мейле еще и не работает ничего. Извини , я их переместил в другю папку в облаке и видать ссылки перестали работать 1 https://cloud.mail.ru/public/EUCJ/YKmoRLybi 2 https://cloud.mail.ru/public/ECDv/ZCXj2ts4J 3 https://cloud.mail.ru/public/7jQe/xoD4VrnDV 4 https://cloud.mail.ru/public/ESxd/JqCDdUfdA 5 https://cloud.mail.ru/public/L1dj/zNXh4KG2u 6 https://cloud.mail.ru/public/Lukm/zyntRGSiN (новые) Ссылка на комментарий Поделиться на другие сайты Поделиться
IzerodayI Опубликовано 7 сентября, 2017 Автор Поделиться Опубликовано 7 сентября, 2017 1 час назад, Xipho сказал: Про название игры опять было успешно забыто? игра называется cossacks 3 , просто я создал тему в cheat engine и не думал , что надо указывать игру Ссылка на комментарий Поделиться на другие сайты Поделиться
Garik66 Опубликовано 7 сентября, 2017 Поделиться Опубликовано 7 сентября, 2017 7 минут назад, IzerodayI сказал: игра называется cossacks 3 , просто я создал тему в cheat engine и не думал , что надо указывать игру Когда задаёшь вопрос по конкретной игре - нужно указать её название. Ссылка на комментарий Поделиться на другие сайты Поделиться
IzerodayI Опубликовано 7 сентября, 2017 Автор Поделиться Опубликовано 7 сентября, 2017 1 минуту назад, Garik66 сказал: Когда задаёшь вопрос по конкретной игре - нужно указать её название. я правильно вышел на инструкции , как ты говорил или нет ? Ссылка на комментарий Поделиться на другие сайты Поделиться
Garik66 Опубликовано 7 сентября, 2017 Поделиться Опубликовано 7 сентября, 2017 10 часов назад, IzerodayI сказал: 4 и как мне кажется вот эти байты 81 38 FF E0 F5 05 примерно взяты отсюда Нет. Как я делал тот скрипт: 1. Вручную сделал сигнатуры из скана, который ты кидал в чате. (Так как играть в неё я не умею и времени на изучения интерфейса игры у меня нет и решил, что ты нашёл всё верно). 2. С помощью скана сигнатур. нашёл адреса (после удлинения сигны осталось три адреса). 3. Взял первый из адресов, который менял значения ресурсов в игре (может я ошибся здесь и это видимое значение). 4. Поставил бряк, на выбранный мною адрес. 5. Выбрал инструкцию, которая работает только с адресами ресурсов. 6. Написал стандартный СЕ-ный скрипт из этой инструкции. Так что сигнатуру, которую ты здесь указал я не делал вручную, а получил автоматически из этой инструкции: 074E2DDB: 81 38 FF E0 F5 05 - cmp [eax],05F5E0FF для чего я всегда оставляю ЛОГИ в скрипте ( и для чего их добавил в скрипт Дарк Байт). Посмотри внимательно вот эти байты. Ссылка на комментарий Поделиться на другие сайты Поделиться
IzerodayI Опубликовано 7 сентября, 2017 Автор Поделиться Опубликовано 7 сентября, 2017 6 часов назад, Garik66 сказал: 1. Вручную сделал сигнатуры 2. С помощью скана сигнатур. эти три значения я нахожу через поиск 1 https://cloud.mail.ru/public/EUCJ/YKmoRLybi и проверяю , что работает (там их больше 3 , просто нужно дольше отсеивать) (1 адрес экранный) 2 https://cloud.mail.ru/public/ECDv/ZCXj2ts4J 3 https://cloud.mail.ru/public/7jQe/xoD4VrnDV 6 часов назад, Garik66 сказал: 4. Поставил бряк, на выбранный мною адрес. я тоже ставлю на выбранный адрес бряк (f5) и получаю такое кол-во инструкций 4 https://cloud.mail.ru/public/ESxd/JqCDdUfdA PS я нашел , что ты использовал , это экранное значение скрин той инструкции (и те байты) https://cloud.mail.ru/public/Hcy7/FskkocbdV я на глаз так не умею определять , есть ли тут инструкция, которая работает с ресурсами (просто они все одинаковые mov ecx,[ecx]) --->https://cloud.mail.ru/public/ESxd/JqCDdUfdA Ссылка на комментарий Поделиться на другие сайты Поделиться
ReWanet Опубликовано 7 сентября, 2017 Поделиться Опубликовано 7 сентября, 2017 13 минуты назад, IzerodayI сказал: эти три значения я нахожу через поиск Цитируем сообщения не полностью!https://gamehacklab.ru/topic/5470-в-угол/ 13 минуты назад, IzerodayI сказал: я на глаз так не умею определять Слушай тебе уже был дан ответ: поучись. Почему ты скидываешь не скидываешь скрины еще с окна дизассемблера ( это полезнее )? Мы так же не глаз не может дать тебе ответ что именно работает с нужным тебе адресом. Жмешь правой кнопкой мыши и жмешь "Check if found opcodes also access other addresses ( max 8 )" или ручками заходишь и ставишь бряки на каждую инструкцию и смотришь. Ссылка на комментарий Поделиться на другие сайты Поделиться
IzerodayI Опубликовано 7 сентября, 2017 Автор Поделиться Опубликовано 7 сентября, 2017 (изменено) 30 минут назад, what228 сказал: "Check if found opcodes also access other addresses ( max 8 ) Спасибо за совет , и в правду обнаружил , что работает инструкция с моим адресом https://cloud.mail.ru/public/CGFj/SreEXH9UX (и первая инструкция тоже работает с моим адресом) Но там есть и не мои адреса.... PS буду дальше думать, что делать PSS да они там все с моим адресом работают и не только.... Изменено 7 сентября, 2017 пользователем IzerodayI Ссылка на комментарий Поделиться на другие сайты Поделиться
ReWanet Опубликовано 7 сентября, 2017 Поделиться Опубликовано 7 сентября, 2017 1 минуту назад, IzerodayI сказал: Спасибо за совет У тебя будут 6 адресов. Из твоего скрина 3 интрсукции работают со всеми и 3 только с тобой. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения