某N开一点小分析

社区服务
高级搜索
猴岛论坛跑跑卡丁车某N开一点小分析
发帖 回复
正序阅读 最近浏览的帖子最近浏览的版块
« 返回列表
32个回复

[游戏辅助]某N开一点小分析

 楼层直达
sprees

ZxID:35237591

等级: 上士
举报 只看楼主 使用道具 楼主   发表于: 2013-11-29 0
PP N开原理简单剖析哦, 只逆了小部分,上班再弄.
(功能的找法定位在搜索和遍历.另外关于车辆信息和人物信息的指针结构已经移入堆栈.目前不可修改,可以通过其它手段获得 但不固定)


屏蔽邀请部分:
*[结构地址+0x14]  == 某变量地址
*[结构地址+0x14] - 0xc ==某前面的变量地址
++*[*[结构地址+ 0x14] - 4]

复制代码
  1. int __stdcall sub_10001030(int argContext)
  2. {
  3.   int result; // eax@1
  5.   result = HeapStart;
  6.   if ( HeapStart )
  7.   {
  8.     result = phHeap;
  9.     if ( phHeap )
  10.     {
  11.       if ( argContext )
  12.       {
  13.         **(argContext + 0x14) = 49;
  14.         *(*(argContext + 0x14) - 0xC) = 1;
  15.         result = isEnable;
  16.         if ( !isEnable )
  17.         {
  18.           ++*(*(argContext + 0x14) - 4);        // 某二级结构变量值自加
  19.           *HeapStart = HeapAlloc(*phHeap, 0, 4u);
  20.           *(HeapStart + 4) = *HeapStart + 4;    // 保存自身地址
  21.           *(HeapStart + 8) = *(HeapStart + 4);
  22.           result = *HeapStart;
  23.           **HeapStart = *(argContext + 0x14);
  24.           isEnable = 1;
  25.         }
  26.       }
  27.     }
  28. 最后一段看起来没什么用,有点像AheadLib对Tls的处理..

        dword_10008E64 = *(*(Section1_Vaddr + 0xB) + Section1_Vaddr + 0x17);
        dword_10008E64 += *(*(Section1_Vaddr + 18) + Section1_Vaddr + 33);
这两句一直看不懂, 因为Section1_Vaddr已经指向了themida加壳后的第一个节区,不知道0x17 33两处代表什么意思.


argContext在Hook点自行获取, -- > ecx (为何要用这样的方法呢,因为ECX的指针不固定,第二点可以不用更新.那么为什么人物指针等不用这个方法呢?因为人物指针所经过的call们都是全局共享的.)

LABEL_55:
        if ( dword_10008E5C )
        {
          BeginOfData = (KartRider(00400000) + baseOfData);
          EndOfdata = (KartRider(00400000) + baseOfData + SizeOfInitializedData - 16);
          if ( (KartRider(00400000) + baseOfData) < EndOfdata )
          {
            while ( 1 )
            {
              count = 4;
              pKeyStr = "PqInviteRider";        // 游戏内的DbgPrint输出字符串当#define DEBUG_打开时调用
              TempAddress = BeginOfData;
              IfFound = 1;
              do
              {
                if ( !count )
                  break;
                IfFound = *TempAddress == *pKeyStr;
                TempAddress += 4;
                pKeyStr += 4;
                --count;
              }
              while ( IfFound );
              if ( IfFound )
                break;
              ++BeginOfData;
              if ( BeginOfData >= EndOfdata )
                goto LABEL_65;
            }
            originalCallAddr = *(BeginOfData + 0x20);
            *(BeginOfData + 0x20) = FilterStubFunction;
          }
        }
      }
    }

FilterStubFunction proc near
pop     retAddress
mov     argContext, ecx
lea     eax, newRet__
push    eax
mov     eax, originalCallAddr
jmp     eax
:
pop dword [OriginalRetAddress]
mov argContext,ecx 保存参数指针
lea eax, newRet__ 压入新的返回地址
push eax
mov eax,originalCallAddr
jmp eax --使用原参数调用原始的CALL,一个原本只执行一次的初始化call

返回到这里:
newRet__:
push    argContext 压入之前的参数(已被ORGCALL初始化)
call    sub_10001030 处理已被初始化的结构。
jmp  [ OriginalRetAddress ]
[ 此帖被sprees在2013-11-29 17:07重新编辑 ]
本帖de评分: 4 条评分 DB +4
DB+1 2013-11-30

一直都在给你的大号发信息.不知道你换号了.也不知道留言看见了没有.
DB+1 2013-11-29

。。。。
DB+1 2013-11-29

欢迎分析啊,没加壳很简单的
DB+1 2013-11-29

什么玩意啊 看不懂
隐藏
打赏 收藏 新鲜事

相关主题

回复 引用
  鲜花[0]  鸡蛋[0]
星期舞丶

ZxID:19673419

等级: 少尉
举报 只看该作者 32楼  发表于: 2014-01-19 0
回 楼主(sprees) 的帖子
号密码被改了,游戏币被用了。今天找回来登录ip网站和游戏登录都是辽宁省沈阳市。我想知道这可靠吗?那个音符的ip也是辽宁省的不知他是不是沈阳市的
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
红河

ZxID:1028709

等级: 上将
举报 只看该作者 31楼  发表于: 2013-11-30 0
一直都在给你的大号发信息.不知道你换号了.也不知道留言看见了没有.
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
    三少

ZxID:18500441

等级: 大将
配偶: 兜兜哩呦糖果
原谅我又一次不辞而别

举报 只看该作者 30楼  发表于: 2013-11-30 0
P神教育小枫,呃。。。。这里好像是小枫指出P神的不足吧。。
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
始终是放不下的人 

ZxID:32252873

等级: 中校
举报 只看该作者 29楼  发表于: 2013-11-30 0
虽然看不懂  但是感觉好厉害
楼主我认识你,你就是那个掉粪坑三个小时被打捞起来不仅没事还边跑边笑边擦嘴边打嗝的少年。
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
灬Ian

ZxID:17960093

等级: 大将
举报 只看该作者 28楼  发表于: 2013-11-30 0
机智的版主居然不认识小枫,还AT大神来教育。
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
nihongnan

ZxID:31904563

等级: 大校
举报 只看该作者 27楼  发表于: 2013-11-30 0
路过
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
坚果4d07

ZxID:23739516

等级: 少将
举报 只看该作者 26楼  发表于: 2013-11-30 0
厉害,话说这是什么语言?只学了c和java

际遇之神

 奖励

被富婆包养,轻易就获得钱财无数,获得6DB
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
   叶 子

ZxID:23011570

等级: 元帅
   〈热会五队〉          〈五队最棒〉  

举报 只看该作者 25楼  发表于: 2013-11-29 0
看不懂
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
ltt2588

ZxID:31881827

等级: 元帅
举报 只看该作者 24楼  发表于: 2013-11-29 0
不明觉厉
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
sprees

ZxID:35237591

等级: 上士
举报 只看该作者 23楼  发表于: 2013-11-29 0
回 10楼(欧阳幻息) 的帖子
欧阳幻息:
     这样看起来像是攻击人似的...
拿一大堆东西来吓人真的不妥...
我学院的一位过世的院士说过:
做我们这一行的,懂数学是必须的。
但不能拿数学来吓唬人。
这是不对的。
况且你发了这么多,说明的不清楚...
无论你是哪个大神的小号或是大号
都请...说明的清楚点...

1,我不是发给你看的,请不要自作多情.
2,我不过为共享而来的,请不要自作聪明.
3.特别发这个回复和你讲话很累.
4.上面那个不是数学.
5.有没有攻击人,自己清楚.
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
sprees

ZxID:35237591

等级: 上士
举报 只看该作者 22楼  发表于: 2013-11-29 0
回 10楼(欧阳幻息) 的帖子
其实我很想回你"莫名其妙"的
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
忧伤幸福

ZxID:25211910

等级: 少将
举报 只看该作者 21楼  发表于: 2013-11-29 0
?????????????????
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
清静梵音

ZxID:19432393

等级: 元帅
分享你我他

举报 只看该作者 20楼  发表于: 2013-11-29 0
欢迎分析啊,没加壳很简单的
回复 引用 新鲜事
  鲜花[8]  鸡蛋[0]
尕丶鑫

ZxID:26667095

等级: 禁止发言
举报 只看该作者 19楼  发表于: 2013-11-29 0
过来看一看 给他说一下  
教育一下小猴子
本帖提到的人: @清静梵音
本帖de评分: 2 条评分 DB +2
DB+1 2013-11-30

P神教育小枫,呃。。。。这里好像是小枫指出P神的不足吧。。
DB+1 2013-11-30

机智的版主居然不认识小枫,还AT大神来教育。
隐藏
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
尕丶鑫

ZxID:26667095

等级: 禁止发言
举报 只看该作者 18楼  发表于: 2013-11-29 0
直接说   表达什么    没有的你认为是?
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
_Lacorey丶

ZxID:25284962

等级: 大尉
纯娱乐
举报 只看该作者 17楼  发表于: 2013-11-29 0
求解有什么问题
- -
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
熙熙儿

ZxID:27329931

等级: 大将
╔━━━━━━━━╗┃爱猴岛、爱跑跑っ┃╚━━━━━━━━╝

举报 只看该作者 16楼  发表于: 2013-11-29 0
不懂
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
哞哞0438

ZxID:26832147

等级: 少尉
举报 只看该作者 15楼  发表于: 2013-11-29 0
一队字母符号看不懂

际遇之神

 奖励

版主上厕所忘带手纸,哞哞0438高价转让手纸,得5DB
回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
极品老C

ZxID:17173743

等级: 少校
配偶: 极品罗玉凤
吃飯  睡覺  玩跑跑 上猴島

举报 只看该作者 14楼  发表于: 2013-11-29 0
  
  不明觉历

回复 引用 新鲜事
  鲜花[0]  鸡蛋[0]
« 返回列表
发帖 回复