冰楓論壇

 找回密碼
 立即註冊
搜索
查看: 965|回覆: 3
打印 上一主題 下一主題

[求助/徵求] 笨怪CRC转ICS问题求助

[複製鏈接]

43

主題

0

好友

85

積分

新手上路

Rank: 1

UID
290224
帖子
384
主題
43
精華
0
積分
85
楓幣
282
威望
76
存款
0
贊助金額
0
推廣
0
GP
51
閱讀權限
10
性別
保密
在線時間
180 小時
註冊時間
2020-9-13
最後登入
2024-8-18
跳轉到指定樓層
1
發表於 2022-3-13 20:25:12 |只看該作者 |倒序瀏覽
参考版上修改笨怪的地址是14210DBC9,我跟了这个地址上边的两个call,
[ENABLE]
14210DBC9:
db 90 E9

[DISABLE]
14210DBC9:
db 0F 85
1.png

2.png
但并没有可以hook的地址,我现在有点迷茫,不知道下一步往哪里走,有没有大佬解惑一下?
我想过14210DBC9这个地址是不是必须改的,或许在它的前面就可以jmp 14210DE18,而不是在14210DBC9这个地址jmp 14210DE16


收藏收藏1 推0 噓0


把本文推薦給朋友或其他網站上,每次被點擊增加您在本站積分: 1鑰匙
複製連結並發給好友,以賺取推廣點數
簡單兩步驟,註冊、分享網址,即可獲得獎勵! 一起推廣文章換商品、賺$$

12

主題

1

好友

22

積分

新手上路

Rank: 1

UID
169543
帖子
123
主題
12
精華
0
積分
22
楓幣
422
威望
21
存款
0
贊助金額
0
推廣
0
GP
27
閱讀權限
10
性別
在線時間
14 小時
註冊時間
2016-11-7
最後登入
2023-7-25
2
發表於 2022-3-14 03:56:47 |只看該作者
你那个地址 我也找不到转ICS的。
  1. //TWMS241.2 笨怪
  2. define(bg_rsp,143A5DCA9)// 48 8b 8f ? ? ? ? 48 8d 5d ? 45 8b dd 41 bd 2a
  3. [ENABLE]
  4. registersymbol(hook)
  5. alloc(hook,1024,MapleStory.exe)
  6. label(_code)
  7. label(_ret)
  8. hook:
  9. mov r8,bg_rsp
  10. cmp [rsp+60],r8
  11. jne _ret
  12. mov r8,_code
  13. mov [rsp+60],r8
  14. _ret:
  15. jmp KERNEL32.GetLastError
  16. _code:
  17. xor esi,esi
  18. jmp bg_rsp
  19. 14463F1E8:
  20. dq hook
  21. [DISABLE]
  22. 14463F1E8:
  23. dq KERNEL32.GetLastError
  24. unregistersymbol(hook)
  25. dealloc(hook)
複製代碼

點評

ningmeng  大佬,这两句 mov r8,bg_rsp cmp [rsp+60],r8 ,jmp回去的时候也没有清理r8,不怕r8被污染么,堆栈不平衡了  發表於 2022-3-15 01:50
ningmeng  多谢大佬,我就是记得32位的时候就是hook的getlasterror这个api,所以后面我在怀疑版上的那个CRC是不是是另一个笨怪的地址,果真是这样  發表於 2022-3-14 21:14
[發帖際遇]: 仁二 為了預防「武漢肺炎」,整天在家自主隔離,獲得防疫獎勵 1 鑰匙 幸運榜 / 衰神榜
回覆

使用道具 舉報

46

主題

6

好友

144

積分

技術師

Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15

UID
15835
帖子
2025
主題
46
精華
0
積分
144
楓幣
2209
威望
125
存款
0
贊助金額
0
推廣
0
GP
164
閱讀權限
100
性別
保密
在線時間
371 小時
註冊時間
2012-10-23
最後登入
2022-4-21
3
發表於 2022-3-15 00:29:51 |只看該作者
  1. [ENABLE]
  2. 14210DBC9:
  3. db 90 E9

  4. [DISABLE]
  5. 14210DBC9:
  6. db 0F 85
複製代碼
這個版本的笨怪不會攻擊但看得到人物
這個版本的ICS往上很遠才找到,不確定有沒有更近的,我跳著找:
  1. [enable]
  2. Alloc(MobStupid, 128, 14463FB38)
  3. Alloc(MobStupidSwitch, 4)
  4. registersymbol(MobStupid)
  5. registersymbol(MobStupidSwitch)

  6. MobStupidSwitch:
  7. DD 01

  8. 14463FB38:
  9. DQ MobStupid

  10. MobStupid:
  11. mov r9, 14210CBE8
  12. cmp [rsp+30],r9
  13. jne return
  14. mov r9,[r14+468]
  15. lea r9,[r9+490]
  16. mov edx, [MobStupidSwitch]
  17. mov dword ptr [r9],edx
  18. return:
  19. jmp winmm.timeGetTime

  20. [disable]

  21. MobStupidSwitch:
  22. DD 00
複製代碼
  1. 14210DBA0 - 49 8B 8E 68040000     - mov rcx,[r14+00000468]

  2. 14210DBC2 - 83 B9 90040000 00     - cmp dword ptr [rcx+00000490],00 { 0 }
  3. 14210DBC9 - 0F85 47020000         - jne 14210DE16
  4. 14210DBCF - 83 B9 30040000 00     - cmp dword ptr [rcx+00000430],00 { 0 }
  5. 14210DBD6 - 0F85 3A020000         - jne 14210DE16
複製代碼
應該也可以寫成 pointer 版本
這兩個位置我隨便挑一個用
[[[[[[145A9B248]+88]+Index*8]+18]+08]+468]+490
[[[[[[145A9B248]+88]+Index*8]+18]+08]+468]+430

點評

ningmeng  多谢大佬,我再下来琢磨琢磨  發表於 2022-3-15 23:56
kkmomo  r14210CBE8 這個返回點的 r14 跟 14210DBA0 的r14的值是一樣的,雖不確定 rcx+490是什麼用途,但設為1可達到一樣的效果  發表於 2022-3-15 02:08
kkmomo  我目前系統的的 KERNEL32.timeGetTime前三個是這樣 sub rsp,28 xor r9d,r9d lea rdx,[KERNEL32.GetThreadPriority+B0] 所以可以用,保險一點可以再多加push/pop  發表於 2022-3-15 02:04
ningmeng  大佬,你这个真的写得很巧妙,确实厉害,我暂时还没理解写法,不过我还是有一个问题,不怕r9被污染么  發表於 2022-3-15 01:52
[發帖際遇]: kkmomo 看了電視節目「大腦生了沒」,智商瞬間驟降 2 幸運榜 / 衰神榜
回覆

使用道具 舉報

17

主題

0

好友

261

積分

中級會員

Rank: 3Rank: 3

UID
75944
帖子
153
主題
17
精華
0
積分
261
楓幣
214
威望
254
存款
5000
贊助金額
0
推廣
0
GP
22
閱讀權限
30
在線時間
145 小時
註冊時間
2014-8-8
最後登入
2024-12-11
4
發表於 2022-3-15 01:46:54 |只看該作者
kkmomo 發表於 2022-3-15 00:29
這個版本的笨怪不會攻擊但看得到人物
這個版本的ICS往上很遠才找到,不確定有沒有更近的,我跳著找:應該也 ...

timeGetTime和GetLastError是不是萬能ICS跳轉指針的API

點評

love5221124  我記得有一個方法可以萬能跳的,之前聽一個大佬說的,不是VEH也不是SHE  發表於 2022-3-15 02:00
ningmeng  不是,得找,改的地址前面有什么API就用什么API  發表於 2022-3-15 01:53
回覆

使用道具 舉報

您需要登入後才可以回文 登入 | 立即註冊

廣告刊登意見回饋關於我們管群招募本站規範DMCA隱私權政策

Copyright © 2011-2024 冰楓論壇, All rights reserved

免責聲明:本網站是以即時上載留言的方式運作,本站對所有留言的真實性、完整性及立場等,不負任何法律責任。

而一切留言之言論只代表留言者個人意見,並非本網站之立場,用戶不應信賴內容,並應自行判斷內容之真實性。

小黑屋|手機版|冰楓論壇

GMT+8, 2024-12-22 17:11

回頂部