冰楓論壇

標題: TwMS v241.2 MSCRC Bypass [打印本頁]
作者: kkmomo    時間: 2022-3-3 03:36
標題: TwMS v241.2 MSCRC Bypass
提供三個版本
版本1:
code 最少,但有 side effect
已知問題: 進出商場後 buffer 圖示會消失

版本2:
使用 thread, enable 後只要 thread 結束就可以寫入其他 crc 數據

版本3:
不使用 thread, 在角色登入遊戲後才會初始化,在這之後才能寫入其他 crc 數據
這邊我是在要檢查CRC時才做初始化,也可以改在別的地方去做初始化

版本2、3我是 alloc 整個 exe 範圍,不過實際上不需要這麼大,我在版本3有紀錄 crc1、crc2的範圍,有需要的可以自己確認一下調整大小

MapleStory.exe v241.2
start: 140000000
end:14B3FC000
size: B3FC000
crc1: 147F9045D
min: 140001005
max: 14463E7FF
crc2: 147B01A2B
min: 147F90149
max: 147F906DD
  1. // TwMS v241.2 MSCRC Bypass v1
  2. [enable]
  3. 143B7F610:
  4. xor eax,eax
  5. ret
  6. nop 2

  8. [disable]
  9. 143B7F610:
  10. mov [rsp+10],rdx
複製代碼
  1. // TwMS v241.2 MSCRC Bypass v2
  2. [enable]
  3. Alloc(ms_mem_dup, 188727296) //B3FC000
  4. Alloc(crc_bypass_entry, 1024, MapleStory.exe+7F9045D)
  5. Alloc(crc_bypass_thread, 512)
  6. createthread(crc_bypass_thread)
  7. define(ms_mem_start,140000000)
  8. define(ms_mem_end,14B3FC000)
  9. define(crc_1, 147F9045D)
  10. define(crc_1_ret, 147F90462)
  11. define(crc_2, 147B01A2B)
  12. define(crc_2_ret, 147B01A30)

  14. crc_bypass_thread:
  15. mov rdx,[ms_start]
  16. mov rax,[ms_end]
  17. sub rax,rdx
  18. xor rdx,rdx
  19. mov rcx,8
  20. div rcx
  21. mov rcx,rax
  22. mov rsi,[ms_start]
  23. mov rdi,ms_mem_dup
  24. rep movsq

  26. mov rdi,[ms_crc1]
  27. mov byte ptr [rdi], E9
  28. inc rdi
  29. mov rax,crc_1_bypass_entry
  30. mov rdx,crc_1_ret
  31. sub rax,rdx
  32. mov [rdi],eax
  33. lea rdi,[rdi+04]
  34. mov byte ptr [rdi],90

  36. mov rdi,[ms_crc2]
  37. mov byte ptr [rdi], E9
  38. inc rdi
  39. mov rax,crc_2_bypass_entry
  40. mov rdx,crc_2_ret
  41. sub rax,rdx
  42. mov [rdi],eax
  43. lea rdi,[rdi+04]
  44. mov byte ptr [rdi],90
  45. jmp terminatethread

  47. crc_bypass_entry:
  48. crc_1_bypass_entry:
  49. cmp r12,[ms_start]
  50. jb crc_1_exit
  51. cmp r12,[ms_end]
  52. jae crc_1_exit
  53. sub r12,[ms_start]
  54. push rax
  55. mov rax,ms_mem_dup
  56. add r12,rax
  57. pop rax

  59. crc_1_exit:
  60. add al,[r12]
  61. pop r12
  62. jmp crc_1_ret

  64. crc_2_bypass_entry:
  65. cmp rcx,qword ptr [ms_start]
  66. jb crc_2_exit
  67. cmp rcx,qword ptr [ms_end]
  68. jae crc_2_exit
  69. sub rcx,qword ptr [ms_start]
  70. push rax
  71. mov rax,ms_mem_dup
  72. add rcx,rax
  73. pop rax

  75. crc_2_exit:
  76. mov ecx,[rcx]
  77. add [r13+00],ecx
  78. jmp crc_2_ret

  80. ms_start:
  81. DQ ms_mem_start

  83. ms_end:
  84. DQ ms_mem_end

  86. ms_crc1:
  87. DQ crc_1

  89. ms_crc2:
  90. DQ crc_2

  92. [disable]
  93. DeAlloc(ms_mem_dup)
  94. DeAlloc(crc_bypass_entry)
  95. DeAlloc(crc_bypass_thread)

  97. crc_1:
  98. add al,[r12]
  99. pop r12

  101. crc_2:
  102. mov ecx,[rcx]
  103. add [r13+00],ecx
複製代碼
  1. // TwMS v241.2 MSCRC Bypass v3
  2. [enable]
  3. Alloc(msmem, 188727296) //B3FC000
  4. Alloc(crc_bypass_entry, 1024, MapleStory.exe+7F9045D)
  5. GlobalAlloc(crc1_min,8)
  6. GlobalAlloc(crc1_max,8)
  7. GlobalAlloc(crc2_min,8)
  8. GlobalAlloc(crc2_max,8)


  11. crc1_min:
  12. DQ 7fffffffffff

  14. crc1_max:
  15. DQ 00

  17. crc2_min:
  18. DQ 7fffffffffff

  20. crc2_max:
  21. DQ 00

  23. 147F9045D:
  24. DB E9
  25. DD crc_bypass1-147F90462
  26. DB 90

  28. 147B01A2B:
  29. DB E9
  30. DD crc_bypass2-147B01A30
  31. DB 90

  33. crc_bypass_entry:
  34. nop
  35. crc_bypass1:
  36. /////////////////////////
  37. cmp r12,[crc1_min]
  38. jae Next_1
  39. mov [crc1_min],r12
  40. Next_1:
  41. cmp r12,[crc1_max]
  42. jbe Next_2
  43. mov [crc1_max],r12
  44. Next_2:
  45. /////////////////////////

  47. cmp byte ptr[crc_bypass_init_done], 0
  48. jne crc_bypass1_main
  49. inc qword ptr [crc_bypass_init_done]
  50. call set_restore_1
  51. call set_restore_2
  52. call ms_mem_dup
  53. call set_bypass_1
  54. call set_bypass_2
  55. jmp crc_bypass1_main

  57. crc_bypass2:
  58. /////////////////////////
  59. cmp rcx,[crc2_min]
  60. jae Next2_1
  61. mov [crc2_min],rcx
  62. Next2_1:
  63. cmp rcx,[crc2_max]
  64. jbe Next2_2
  65. mov [crc2_max],rcx
  66. Next2_2:
  67. /////////////////////////

  69. cmp byte ptr[crc_bypass_init_done], 0
  70. jne crc_bypass2_main
  71. inc qword ptr [crc_bypass_init_done]
  72. call set_restore_1
  73. call set_restore_2
  74. call ms_mem_dup
  75. call set_bypass_1
  76. call set_bypass_2
  77. jmp crc_bypass2_main

  79. ///////////////////////////////////////////////

  81. crc_bypass1_main:
  82. cmp r12,qword ptr [ms_start]
  83. jb crc_bypass1_return
  84. cmp r12,qword ptr [ms_end]
  85. jae crc_bypass1_return
  86. sub r12,qword ptr [ms_start]
  87. push rax
  88. mov rax,msmem
  89. add r12,rax
  90. pop rax

  92. crc_bypass1_return:
  93. add al,[r12]
  94. pop r12
  95. jmp 147F90463

  97. crc_bypass2_main:
  98. cmp rcx,qword ptr [ms_start]
  99. jb crc_bypass2_return
  100. cmp rcx,qword ptr [ms_end]
  101. jae crc_bypass2_return
  102. sub rcx,qword ptr [ms_start]
  103. push rax
  104. mov rax,msmem
  105. add rcx,rax
  106. pop rax

  108. crc_bypass2_return:
  109. mov ecx,[rcx]
  110. add [r13+00],ecx
  111. jmp 147B01A31
  112. ///////////////////////////////////////////////
  113. set_restore_1:
  114. push rsi
  115. push rdi
  116. mov rdi,[ms_crc1]
  117. mov rsi,B3535C4124040241
  118. mov [rdi],rsi
  119. pop rsi
  120. pop rdi
  121. ret
  122. ///////////////////////////////////////////////
  123. set_restore_2:
  124. push rsi
  125. push rdi
  126. mov rdi,[ms_crc2]
  127. mov rsi,499C004D0141098B
  128. mov [rdi],rsi
  129. pop rsi
  130. pop rdi
  131. ret
  132. ///////////////////////////////////////////////
  133. set_bypass_1:
  134. push rax
  135. push rdx
  136. push rsi
  137. push rdi

  139. mov rdi,qword ptr [ms_crc1]
  140. mov byte ptr [rdi], E9
  141. inc rdi
  142. mov rax,crc_bypass1
  143. mov rdx,147F90462
  144. sub rax,rdx
  145. mov dword ptr [rdi],eax
  146. lea rdi,[rdi+04]
  147. mov byte ptr [rdi],90

  149. pop rdi
  150. pop rsi
  151. pop rdx
  152. pop rax
  153. ret
  154. ///////////////////////////////////////////////
  155. set_bypass_2:
  156. push rax
  157. push rdx
  158. push rsi
  159. push rdi

  161. mov rdi,qword ptr [ms_crc2]
  162. mov byte ptr [rdi], E9
  163. inc rdi
  164. mov rax,crc_bypass2
  165. mov rdx,147B01A30
  166. sub rax,rdx
  167. mov dword ptr [rdi],eax
  168. lea rdi,[rdi+04]
  169. mov byte ptr [rdi],90

  171. pop rdi
  172. pop rsi
  173. pop rdx
  174. pop rax
  175. ret
  176. ///////////////////////////////////////////////
  177. ms_mem_dup:
  178. push rax
  179. push rcx
  180. push rdx
  181. push rsi
  182. push rdi
  183. pushfq
  184. mov rdx,qword ptr [ms_start]
  185. mov rax,qword ptr [ms_end]
  186. sub rax,rdx
  187. xor rdx,rdx
  188. mov rcx,8
  189. div rcx
  190. mov rcx,rax
  191. mov rsi,qword ptr [ms_start]
  192. mov rdi,msmem
  193. rep movsq
  194. //mov rax,crc_bypass_init_done
  195. //inc [rax]
  196. popfq
  197. pop rdi
  198. pop rsi
  199. pop rdx
  200. pop rcx
  201. pop rax
  202. ret

  204. ////////////////////////////////////
  205. ms_start:
  206. DQ 140000000

  208. ms_end:
  209. DQ 14B3FC000

  211. ms_crc1:
  212. DQ 147F9045D

  214. ms_crc2:
  215. DQ 147B01A2B

  217. ms_crc1_start:
  218. DQ 140001005

  220. ms_crc1_end:
  221. DQ 14463E7FF

  223. ms_crc2_start:
  224. DQ 147F90149

  226. ms_crc2_end:
  227. DQ 147F906DD

  229. crc_bypass_init_done:
  230. DQ 00
  231. ////////////////////////////////////

  233. [disable]
  234. DeAlloc(msmem)
  235. DeAlloc(crc_bypass_entry)

  237. 147F9045D:
  238. add al,[r12]
  239. pop r12

  241. 147B01A2B:
  242. mov ecx,[rcx]
  243. add [r13+00],ecx
複製代碼
作者: 李崇文    時間: 2022-3-3 17:28
可以問一下副作用是甚麼嗎@@ 第一個
作者: 李崇文    時間: 2022-3-6 09:54
李崇文 發表於 2022-3-3 17:28
可以問一下副作用是甚麼嗎@@ 第一個

喔喔 我以為是很負面ㄉ 感謝
作者: lgf328    時間: 2022-3-6 22:57
這個大神來的,心目中的
作者: micky880612    時間: 2022-3-8 04:37
提示: 作者被禁止或刪除 內容自動屏蔽
作者: dgqweasdzxc    時間: 2022-3-9 22:31
本帖最後由 dgqweasdzxc 於 2022-3-9 22:32 編輯

請問這樣的流程:
1.遊戲play前注入 版本1代碼
2.然後進入遊戲后注入其他需CRC檢測的代碼
3.正常使用?
這樣的流程對嗎?大大!!


還有 最後弱弱的問下,thread是綫程,是指哪個的綫程啊?



歡迎光臨 冰楓論壇 (https://bingfong.com/) Powered by 冰楓