冰楓論壇

標題: 請問更新數據的時候要怎麼哪些地方是未知數 [打印本頁]

作者: edidsfe37 時間: 2013-7-3 20:04
標題: 請問更新數據的時候要怎麼哪些地方是未知數
請問更新數據的時候要怎麼哪些地方是未知數
我看youtube上的影片說未知數要打問號但是我不知道哪裡要打問號哪裡不用打問號
拜託大大指點我一下

作者: daek987 時間: 2013-7-4 00:14
通常操作碼 je call push 這些可以照打
會變的應該是address 跟 offset

作者: daek987 時間: 2013-7-4 00:16
無延遲類的東西
你得是我剛剛PO的東西麻??

像是人物座標的其中一個
X=[[00F75BAC]+0FA0]
Y=[[00F75BAC]+0FA4]

//8B 0D ?? ?? ?? 00 50 57 8D
0052D9B5 - 8B 0D AC5BF700 - mov ecx,[00F75BAC] : [00000000]

//8B 86 ?? ?? 00 00 51 8D 44 88 FC
007B0121 - 8B 86 A00F0000 - mov eax,[esi+00000FA0]

如果你一開始只知道00F75BAC、0FA0、0FA4
可以先從找00F75BAC、00000FA0、00000FA4值下手

有些會出現很多，就要看看哪個比較可能
取一段aob，我通常會開2、3個版本來比較找到的值是不是我所想的
或是看有些用到的數據，原code的位置就有pointer的值，這種就可以確定，
然後取適當的aob就能更新

因為不一定只有一個地方使用到
所以即使找到的不是真正調用的地方也沒關係
重點是知道pointer的值
offset最好是找像
lea exx,[esi+0000xxxx]
esi是來源暫存器，正確性會比較高
其次是
mov exx,[esi+0000xxxx]
mov exx,[ecx+0000xxxx]
不管長什麼樣都取適當的aob
到別版已知pointer值的去找看是不是正確
如果找隔遠一點的版本都沒錯的話就記錄下來
像CharPID有幾個aob從06x版到現在都沒變XD

漏寫一個,我自己分析的優先順序是
lea exx,[esi+0000xxxx]
lea exx,[ecx+0000xxxx]
mov exx,[esi+0000xxxx]
mov exx,[ecx+0000xxxx]

都沒有的話再看情況
像是有一種情形
假設offset是0FBC
用00000FBC、0FBC都找不到時
就改找
00000FBC±4的倍數
0FBC±4的倍數

作者: daek987 時間: 2013-7-4 00:17
這是當初有一位不知名人士私訊給我的

擬就參考看看吧

建議你從簡單的開始練習

然後多事是看幾個版本如果都依樣代表更新方法對了

歡迎光臨冰楓論壇 (https://bingfong.com/)