冰楓論壇

標題: TwMs v237.1 CRC 讀取解輪介面方向鍵 [打印本頁]

作者: ningmeng 時間: 2021-9-29 22:48
標題: TwMs v237.1 CRC 讀取解輪介面方向鍵
本帖最後由乂Boyue乂於 2021-9-30 14:05 編輯

//TwMs v237.1 讀取解輪介面方向鍵
[ENABLE]
alloc(RuneFw,64)
alloc(RUNEARROW01,4)
registersymbol(RUNEARROW01)
alloc(RUNEARROW02,4)
registersymbol(RUNEARROW02)
alloc(RUNEARROW03,4)
registersymbol(RUNEARROW03)
alloc(RUNEARROW04,4)
registersymbol(RUNEARROW04)

RuneFw:
push [ebp-000000A0]
xchg [esp],eax
push 4
xchg [esp],eax
pop ecx
imul ecx,eax
push [esp]
dec eax
xchg [esp],eax
push RUNEARROW01
xchg [esp],eax
add eax,ecx
pop [eax]
pop eax
imul ecx,eax
pop eax
jmp 0615FF2D
db 00

0615FF26:
jmp RuneFw
db 90 90

[DISABLE]
0615FF26:
db 6B 8D 60 FF FF FF 0C

dealloc(MY_0576D37B)
dealloc(RUNEARROW01)
unregistersymbol(RUNEARROW01)
dealloc(RUNEARROW02)
unregistersymbol(RUNEARROW02)
dealloc(RUNEARROW03)
unregistersymbol(RUNEARROW03)
dealloc(RUNEARROW04)

我拿前輩的數據更新的，我自己試了，沒有bypass，沒有被ngs以及crc檢測；我想問的是VM數據是什麼，何為VM數據，為何不會被ngs或者crc檢測，同樣是修改了別人的代碼行，我很困惑，求大大們解釋

作者: ke90927 時間: 2021-9-29 22:52
你这不是废话吗！CRC和NGS检测的是EXE程序的主线程，又不会去检测他本身要用的模块。这个地址属于模块地址类似API

作者: ke90927 時間: 2021-9-29 22:53
CRC检测的是主程序EXE内存代码是否被修改，就是游戏窗口
NGS检测的内存代码修改以及被非法注入，发现后拦截关闭游戏。

作者: ningmeng 時間: 2021-9-29 22:55

ke90927 發表於 2021-9-29 22:52
你这不是废话吗！CRC和NGS检测的是EXE程序的主线程，又不会去检测他本身要用的模块。这个地址属于模块地址 ...

我大概有点懂了，是不是这就是一个API里的代码，其实是hook了一个api，他调用这个API，我们把它的入参给拿出来

作者: ke90927 時間: 2021-9-29 22:56
是的，和ICS数据差不多。

作者: ningmeng 時間: 2021-9-29 23:01

ke90927 發表於 2021-9-29 22:56
是的，和ICS数据差不多。

多谢大佬，解了我的疑惑

作者: yutsaihsieh 時間: 2021-9-29 23:20
簡單說就是VM段不在檢測範圍內

作者: ningmeng 時間: 2021-9-29 23:30

yutsaihsieh 發表於 2021-9-29 23:20
簡單說就是VM段不在檢測範圍內

謝謝大大，我再多問一句，何為VM數據，為啥這種數據會和ICS,CRC分開討論？

作者: prt 時間: 2021-9-29 23:59
3. 為求版面整齊往後PO文標題將採目前較大宗的兩種格式
[伺服器] [版本] [數據名稱] [數據類型]  範例 : TwMS v228.1 全圖吸怪 CRC 、CMS v174 全圖吸怪 CRC
[伺服器] [版本] [數據類型] [數據名稱]  範例 : TwMS v228.1 CRC 全圖吸怪、CMS v174 CRC 全圖吸怪
* 所有子版塊皆須遵守規範即日起2020/10/15 開始加強取締違者扣除  發帖積分
(４８小時內修正得以透過短消息聯繫冰楓請求撤銷處分)

作者: 1449854257 時間: 2021-10-2 00:06
看不懂水一個

歡迎光臨冰楓論壇 (https://bingfong.com/)