首页
论坛
课程
招聘
[调试逆向] [原创]DXF公告Call分析
2020-9-12 11:31 2058

[调试逆向] [原创]DXF公告Call分析

2020-9-12 11:31
2058

既然要分析公告Call,肯定是要找到某个插入点的。

公告嘛那肯定是从公告的内容入手的,但是存着内容的地址,发完它就释放了,所以嘛我就找到了技能冷却的提示公告。那玩会儿固定一个模板“技能冷却时间还剩xxxx”。我感觉就是sprintf(str,"技能冷却时间还剩%.*f秒",time);不对别喷我。
那就用ce搜

 

 

它这不就出来了,记住地址,打开x64dbg,给它整个访问断点

 

图片描述

 

断下了猜一猜就完事了,别整那些没用的分析。这里访问了模板,然后再取冷却时间,然后步过某个call肯定就合一块了。F8就完事.

 

经过了一堆循环(八成再算冷却时间),来到了这里

 

图片描述

 

再往下走就返回了,上面刚循环完,走了这个call,然后把值给ebx。看看ebx

 

图片描述

 

没茅台。然后就取到了公告call的公告内容,给它整个访问断点

 

图片描述

 

oj8k。这里就是公告call了。

 

众所周知,公告call前面能带个图标,而我就喜欢花里胡哨,所以安排

 

图片描述

 

就从这个公会公告入手。call头部下个断返回上一层。

 

图片描述

 

众所周知fastcall 传参顺序是 rcx rdx r8 r9。那咱重点看这几个寄存器就完事了
rcx来源rax,rax来源于上面call里的[rcx+a0],而rcx来源于全局变量的值

 

图片描述

 

所以rcx = [[基址]+A0]

 

再看rdx,rdx来源 ebp的值
往上嫖了一眼,发现上面还有句lea rcx,[ebp],然后再执行了个call
进去看看
图片描述

 

那就懂了。下面留给你们自个儿分析奥

 

温馨提示:图标要在游戏主线程里调用公告call才能出来

 

不要问我调试器哪来的,问就是npas

 

最后成果图
图片描述

 

只为学习和交流奥,tx爸爸别搞我


看雪论坛2020激励机制:能力值、活跃值和雪币体系!会员积分、权限和会员发帖、回帖活跃程度关联!

最后于 2020-9-12 11:37 被qqzxc编辑 ,原因:
收藏
点赞5
打赏
分享
最新回复 (31)
雪    币: 3781
活跃值: 活跃值 (215)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
如斯咩咩咩 活跃值 2020-9-12 12:17
2
1
龟哥牛啤
雪    币: 199
活跃值: 活跃值 (191)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
淡然他徒弟 活跃值 2020-9-12 12:29
3
0

龟哥牛批

雪    币: 576
活跃值: 活跃值 (99)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
mydvdf 活跃值 2020-9-12 13:46
4
0
龟哥牛批
雪    币: 190
活跃值: 活跃值 (88)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
qdjytony 活跃值 2020-9-12 13:52
5
1
龟哥牛批.
女神看了给你舔
雪    币: 1544
活跃值: 活跃值 (178)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
provence 活跃值 2020-9-12 14:09
6
0
龟哥牛批
雪    币: 102
活跃值: 活跃值 (84)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
浅笑心柔 活跃值 2020-9-12 17:19
7
0
龟哥牛批
雪    币: 6007
活跃值: 活跃值 (124)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
二娃 活跃值 2020-9-12 18:14
8
0
龟哥牛啤
雪    币: 183
活跃值: 活跃值 (185)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
qqzxc 活跃值 2020-9-12 18:56
9
0

雪    币: 211
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
橄榄绿o 活跃值 2020-9-12 20:53
10
0
龟哥牛啤
雪    币: 8666
活跃值: 活跃值 (136)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
固件安全 活跃值 2020-9-13 06:43
11
0
龟哥牛啤
雪    币: 431
活跃值: 活跃值 (65)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
养乐多A 活跃值 2020-9-13 21:58
12
0
差点看成龟头牛逼了
雪    币: 283
活跃值: 活跃值 (129)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
五毒女 活跃值 2020-9-14 08:12
13
0
Dxf啥时候成了64位的了
雪    币: 1221
活跃值: 活跃值 (146)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
caolinkai 活跃值 2020-9-14 08:46
14
0
666
雪    币: 15
活跃值: 活跃值 (71)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
mjxke 活跃值 2020-9-14 15:31
15
0
楼主大爷  请问你确定能单步么   
问题: ACE-BASE.sys句柄降权  你怎么处理的(我for改过来  他20秒左右又TM改过去 导致单步时失败 DNF卡死)
疑问 请问你是怎么处理的   能随手写个  <伪代码处理逻辑么  或者你的思想>
雪    币: 15
活跃值: 活跃值 (71)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
mjxke 活跃值 2020-9-14 15:38
16
0
我彻底说下吧 

目前: ACE-BASE.sys对象钩子 内核回调钩子 都处理了  没蓝屏 基本腾讯系列32 64都可以了        
问题: 就是单步问题(还是上面那句话  你确定你能单步超过20秒?  能的话给个你的 处理伪代码就行  )

当然 藏私是国情   指点是友谊   希望指点指点吧  
 
雪    币: 15
活跃值: 活跃值 (71)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
mjxke 活跃值 2020-9-14 15:39
17
0
晚上再来看  不说了  (希望不要是失望  嘎嘎)
雪    币: 183
活跃值: 活跃值 (185)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
qqzxc 活跃值 2020-9-14 16:37
18
0
npas 800/mouth
雪    币: 15
活跃值: 活跃值 (71)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
mjxke 活跃值 2020-9-14 16:53
19
0
..........朋友  咋撒意识         求教育
雪    币: 15
活跃值: 活跃值 (71)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
mjxke 活跃值 2020-9-14 16:58
20
0
兄弟 不嫌弃加个好友吧 QQ聊  220 1059 410   嘎嘎
雪    币: 15
活跃值: 活跃值 (71)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
mjxke 活跃值 2020-9-14 17:34
21
0
嘿 兄弟 别不理我呀 
雪    币: 15
活跃值: 活跃值 (71)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
mjxke 活跃值 2020-9-14 17:39
22
0
好不容易抓到个大牛   不能放过   别不理我呀  嘿 兄弟   <不给伪代码 或者发个成品我也可以呀  我慢慢学习>
雪    币: 2926
活跃值: 活跃值 (531)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Love Lenka 活跃值 2020-9-14 18:16
23
0
龟哥牛批
雪    币: 2527
活跃值: 活跃值 (92)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
FANTASYING 活跃值 2020-9-14 18:16
24
0
龟哥牛逼,女神看了水直流
雪    币: 15
活跃值: 活跃值 (71)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
mjxke 活跃值 2020-9-14 19:02
25
0
@qqzxc  呼叫呼叫  
雪    币: 113
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
wx_nu无情 活跃值 2020-9-16 10:44
26
0
nPASEngine
雪    币: 1062
活跃值: 活跃值 (149)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
AperOdry 活跃值 2020-9-16 12:25
27
0
mjxke @qqzxc 呼叫呼叫
听说某调试器是自建调试体系的。
雪    币: 11
活跃值: 活跃值 (42)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
0xffffffff 活跃值 2020-9-16 17:25
28
0
我有nPASEngine,可是不会用啊  win10蓝屏
雪    币: 200
活跃值: 活跃值 (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wx_晴天 活跃值 2020-9-16 17:31
29
0
0xffffffff 我有nPASEngine,可是不会用啊 win10蓝屏
可以发一份调试器吗
雪    币: 11
活跃值: 活跃值 (42)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
0xffffffff 活跃值 2020-9-16 21:53
30
0
wx_晴天 可以发一份调试器吗
你会用吗?会的话我可以发你一份
雪    币: 845
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
xhhhr 活跃值 2020-9-17 09:31
31
0
龟哥牛啤
雪    币: 11
活跃值: 活跃值 (42)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
0xffffffff 活跃值 2020-9-17 10:42
32
0
现在用什么调试器调试dnf?
游客
登录 | 注册 方可回帖
返回