Thread Rating:
  • 0 Vote(s) - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
Odnajdywanie drogi do przesunięć
#1
Czy wiesz da wae to da ptrs? Znam daee. Pokażę ci daee.   Przede wszystkim: Otwórz IDA i View -> Open Subviews -> Strings   World i LocalPlayer: Wyszukaj "to jest osoba kontrolowana" i powinieneś wymyślić 1 wynik. Dwukrotnie kliknij na niego. Następnie podporządkuj się podfunkcji, czyli dwukrotnie kliknij na rzecz podświetloną na obrazku poniżej.   Ten obraz został przeskalowany. Kliknij ten pasek, aby wyświetlić pełny obraz. Oryginalny obraz ma rozmiar 979 x 100.   Następnie przejdziesz do funkcji, w której łańcuch jest używany, po prostu naciśnij klawisz F5 na nim, aby zdekompilować go do pseudokodowania. Środkowa podfunkcja jest zawsze rzeczywistym poleceniem skryptu. Czasami mogą istnieć dwa dodatkowe funcs dla skryptów, które mają maszynę wirtualną Java. Jeśli zobaczysz jakieś csr shit na górze, spróbuj drugiego.   Ten obraz został przeskalowany. Kliknij ten pasek, aby wyświetlić pełny obraz. Oryginalny obraz ma rozmiar 808 x 125.   Funkcja odtwarzacza powinna wyglądać następująco:   Ten obraz został przeskalowany. Kliknij ten pasek, aby wyświetlić pełny obraz. Oryginalny obraz ma rozmiar 980 x 711.   Zobaczysz podświetlony tam świat ptr. Zwykle byłby to qword_xxxxx, ale sam zmieniłem nazwę. Możesz także zobaczyć localplayer tuż obok niego, 0x26D8.   Uwaga: Mój IDA jest pieprzony i dodaje 14 przed wszystkimi adresami, nie wiem dlaczego.   Menedżer PBO: To proste, wystarczy wyszukać ciąg "ALL SIGNATURES CHECK START". Xref i F5 to jak poprzednio. Powinieneś zobaczyć odnośnik do wskaźnika PBO Manager kilka razy tuż pod ciągiem.   Ten obraz został przeskalowany. Kliknij ten pasek, aby wyświetlić pełny obraz. Oryginalny obraz ma rozmiar 635x129.   ScriptVM: Search, xref i F5 dla "execVM" jak wcześniej. Kiedy jesteś w funkcji skryptu, po prostu wyszukaj wywołanie funkcji, która podaje wskaźnik świata jako pierwszy argument.   Ten obraz został przeskalowany. Kliknij ten pasek, aby wyświetlić pełny obraz. Oryginalny obraz ma rozmiar 1002x408.   Wewnątrz tej funkcji należy znaleźć przesunięcie ScriptVM   Ten obraz został przeskalowany. Kliknij ten pasek, aby wyświetlić pełny obraz. Oryginalny obraz ma rozmiar 667 x 166.     Menedżer sieci: Wyszukaj funkcję skryptu selectPlayer, odnośnik, F5. Wewnątrz funkcji skryptu wyszukuje wywołania funkcji, która nie przyjmuje żadnych argumentów. Powinien zostać wywołany kilka razy. Ta funkcja pobiera menedżera sieci.   Ten obraz został przeskalowany. Kliknij ten pasek, aby wyświetlić pełny obraz. Oryginalny obraz ma rozmiar 961 x 549.         Tabela EventHandler: To trochę trudniejsze. Znajdź "addEventHandler", odnośniki i F5. Funkcje skryptowe mają zawsze te same dwa pierwsze argumenty, returnValue i GameState. Po tym następuje argumentacja funkcji skryptu, np. "player addEventHandler ['Fired', {hint 'reeeeee';}];". a3 = obiekt, a4 = tablica. Na razie tylko dbamy o obiekt, więc zmień jego nazwę i postępuj zgodnie z nim przez wszystkie funkcje i gówno, tak jak ja to zrobiłem i poszukaj wywołania do sub-func z obiektem przekazanym jako argument, jak w screenhicie poniżej .   Ten obraz został przeskalowany. Kliknij ten pasek, aby wyświetlić pełny obraz. Oryginalny obraz ma rozmiar 1186 x 99.   Będziesz miał offset tablicy zdarzeń w funkcji.   Ten obraz został przeskalowany. Kliknij ten pasek, aby wyświetlić pełny obraz. Oryginalny obraz ma wymiary 873x401.   Z jakiegoś powodu jest tam 0x600, ale tak naprawdę jest to 0x608, więc 8 do tamtej wartości? idk ...   Teraz już wiesz, do da ptrs. Baw się dobrze! Jeśli potrzebujesz innych, mogę rzucić okiem na zastanawianie się, jak je znaleźć, ale nie polegaj na mnie
Reply
#2
wszystko co mogę powiedzieć Rep Dziękuję bardzo!
Reply
#3
Twój IDA nie jest spieprzony, wystarczy dokonać ponownego podziału pliku binarnego Edycja-> Segmenty -> Program bazowy -> Adres pierwszego segmentu -> wartość 0
Reply
#4
Dzięki, pokaż mi, jak bardzo dziękuję
Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)