【游戏分析】非游戏领空追字符串来源

news2024/12/26 0:32:15

通过NPC名称找NPC数组

扫描 NPC名字  ASIC型

发现全部都有后缀

那么采用 字节集的方式去扫描

也是扫不到

说明:不是ASIC型字符串

扫描 NPC名字  Unicode型

没有结果

那么转换成字节集去扫描

终于发现结果了

把结果挨个修改字符串

 

发现   其中两个是可以用的     22和23    分别是人物头顶字符串和血条字符串

那么都可以使用

对名称下访问断

7692D335 >  8BFF            mov     edi, edi

7692D337    55              push    ebp

7692D338    8BEC            mov     ebp, esp

7692D33A    8B45 08         mov     eax, dword ptr [ebp+8]

7692D33D    66:8B08         mov     cx, word ptr [eax]               ; eax

7692D340    40              inc     eax

7692D341    40              inc     eax

7692D342    66:85C9         test    cx, cx

7692D345  ^ 75 F6           jnz     short 7692D33D

7692D347    2B45 08         sub     eax, dword ptr [ebp+8]

7692D34A    D1F8            sar     eax, 1

7692D34C    48              dec     eax

7692D34D    5D              pop     ebp

7692D34E    C3              retn

 

断到非游戏领空 ,并且该位置下断即断,其实是系统模块,所有字符串都会进行访问

那么我们只能通过堆栈跳回游戏领空

在断下的情况堆栈搜索 字符串指针   CTRL+L找到字符串最早出现的位置

来源某层CALL 的第一个参数

追第一个参数EAX即可

005D7074    8B93 50020000   mov     edx, dword ptr [ebx+250]

005D707A    8BBB 4C020000   mov     edi, dword ptr [ebx+24C]

005D7080    03D7            add     edx, edi

005D7082    52              push    edx

005D7083    55              push    ebp

005D7084    68 209A4B00     push    004B9A20

005D7089    EB 06           jmp     short 005D7091

005D708B    6A 00           push    0

005D708D    6A 00           push    0

005D708F    6A 00           push    0

005D7091    8B8B 0C020000   mov     ecx, dword ptr [ebx+20C]

005D7097    E8 94FB3300     call    00916C30

005D709C    8D4C24 5C       lea     ecx, dword ptr [esp+5C]

005D70A0    C68424 8C010000>mov     byte ptr [esp+18C], 1

005D70A8    E8 F3B93200     call    00902AA0

005D70AD    C78424 8C010000>mov     dword ptr [esp+18C], -1

005D70B8    8D4C24 1C       lea     ecx, dword ptr [esp+1C]

005D70BC    E9 42120000     jmp     005D8303

005D70C1    F7C7 00000080   test    edi, 80000000

005D70C7    0F84 3B120000   je      005D8308

005D70CD    F7C7 00000040   test    edi, 40000000

005D70D3    0F85 2F120000   jnz     005D8308

005D70D9    8BCB            mov     ecx, ebx

005D70DB    E8 E03BF2FF     call    004FACC0

005D70E0    8B40 20         mov     eax, dword ptr [eax+20]

005D70E3    6A 00           push    0

005D70E5    57              push    edi

005D70E6    8BC8            mov     ecx, eax

005D70E8    E8 D3CD0700     call    00653EC0                         ; eax CALL的返回值

005D70ED    8BE8            mov     ebp, eax                         ; [eax+314]

005D70EF    85ED            test    ebp, ebp

005D70F1    896C24 20       mov     dword ptr [esp+20], ebp

005D70F5    75 10           jnz     short 005D7107

005D70F7    8B03            mov     eax, dword ptr [ebx]

005D70F9    6A 01           push    1

005D70FB    55              push    ebp

005D70FC    55              push    ebp

005D70FD    8BCB            mov     ecx, ebx

005D70FF    FF50 20         call    dword ptr [eax+20]

005D7102    E9 01120000     jmp     005D8308

005D7107    8B85 14030000   mov     eax, dword ptr [ebp+314]         ; ebp 是非堆栈地址  [ebp+314]

005D710D    8D8C24 34010000 lea     ecx, dword ptr [esp+134]

005D7114    6A 01           push    1

005D7116    51              push    ecx

005D7117    50              push    eax                              ; 第一个参数

005D7118    E8 33522F00     call    008CC350

005D711D    8B8B 20020000   mov     ecx, dword ptr [ebx+220]

005D7123    83C4 0C         add     esp, 0C

005D7126    85C9            test    ecx, ecx

005D7128    74 2A           je      short 005D7154

005D712A    8B11            mov     edx, dword ptr [ecx]

005D712C    8D8424 34010000 lea     eax, dword ptr [esp+134]

005D7133    50              push    eax

005D7134    FF52 44         call    dword ptr [edx+44]

005D7137    8B8B 20020000   mov     ecx, dword ptr [ebx+220]

005D713D    8B55 00         mov     edx, dword ptr [ebp]

005D7140    8B31            mov     esi, dword ptr [ecx]

 

其中  [ebp+318]并非参数

分析ebp发现   其不是堆栈地址,那么318只是一个正常偏移而已

 

 

追到这里 我们需要进CALL 找EAX 的来源

但是 CALL里有很多代码  和跳转  那么我们需要 F7 走一遍 知道 CALL里面的跳转是怎么执行的

然后再-号逆向追寄存器即可

 

00653EC0    83EC 08         sub     esp, 8

00653EC3    56              push    esi

00653EC4    8B71 28         mov     esi, dword ptr [ecx+28]

00653EC7    85F6            test    esi, esi

00653EC9    57              push    edi

00653ECA    75 0C           jnz     short 00653ED8                   ; 跳

00653ECC    33C9            xor     ecx, ecx

00653ECE    884C24 0C       mov     byte ptr [esp+C], cl

00653ED2    8B4424 0C       mov     eax, dword ptr [esp+C]

00653ED6    EB 29           jmp     short 00653F01

00653ED8    8B7C24 14       mov     edi, dword ptr [esp+14]

00653EDC    33D2            xor     edx, edx

00653EDE    8BC7            mov     eax, edi

00653EE0    F7F6            div     esi

00653EE2    8B41 1C         mov     eax, dword ptr [ecx+1C]

00653EE5    8B0490          mov     eax, dword ptr [eax+edx*4]

00653EE8    85C0            test    eax, eax

00653EEA    74 0B           je      short 00653EF7

00653EEC    3978 08         cmp     dword ptr [eax+8], edi

00653EEF    74 1E           je      short 00653F0F                   ; 跳

00653EF1    8B00            mov     eax, dword ptr [eax]

00653EF3    85C0            test    eax, eax

00653EF5  ^ 75 F5           jnz     short 00653EEC

00653EF7    33C9            xor     ecx, ecx

00653EF9    884C24 0C       mov     byte ptr [esp+C], cl

00653EFD    8B4424 0C       mov     eax, dword ptr [esp+C]

00653F01    84C0            test    al, al

00653F03    75 18           jnz     short 00653F1D                   ; 跳

00653F05    5F              pop     edi

00653F06    33C0            xor     eax, eax

00653F08    5E              pop     esi

00653F09    83C4 08         add     esp, 8

00653F0C    C2 0800         retn    8

00653F0F    8D48 04         lea     ecx, dword ptr [eax+4]           ; [[ecx+4]+318]

00653F12    C64424 0C 01    mov     byte ptr [esp+C], 1

00653F17    8B4424 0C       mov     eax, dword ptr [esp+C]

00653F1B  ^ EB E4           jmp     short 00653F01                   ; 跳

00653F1D    8B4424 18       mov     eax, dword ptr [esp+18]

00653F21    85C0            test    eax, eax

00653F23    74 14           je      short 00653F39

00653F25    8B11            mov     edx, dword ptr [ecx]

00653F27    3982 E8000000   cmp     dword ptr [edx+E8], eax

00653F2D    74 0A           je      short 00653F39

00653F2F    5F              pop     edi

00653F30    33C0            xor     eax, eax

00653F32    5E              pop     esi

00653F33    83C4 08         add     esp, 8

00653F36    C2 0800         retn    8

00653F39    8B01            mov     eax, dword ptr [ecx]             ; [[ecx]+318]

00653F3B    5F              pop     edi

00653F3C    5E              pop     esi

00653F3D    83C4 08         add     esp, 8

00653F40    C2 0800         retn    8

 

 

 

NPC数组 偏移表达式如下:

[[[[[[[0D0DF1C]+1c]+8]+20]+1c]+edx*4]+4]+314

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1574281.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

什么是超导悬浮?工作原理是什么?

某些材料在冷却到某个温度(也称为“临界温度”)以下时会完全失去电阻。 1910 年,一位名叫 Heike Kamerlingh Onnes 的荷兰物理学家发现了这一现象。他注意到低于一定温度时电阻突然下降,然后他大胆地声称发现了一种新的物质状态&a…

C++ 【桥接模式】

简单介绍 桥接模式属于 结构型模式 | 可将一个大类或一系列紧密相关的类拆分 为抽象和实现两个独立的层次结构, 从而能在开发时分别使用。 聚合关系:两个类处于不同的层次,强调了一个整体/局部的关系,当汽车对象销毁时,轮胎对象…

觉醒的力量!即使S3,我们应该积极应对,而不是抱怨——早读(逆天打工人爬取热门微信文章解读)

即使S3,我们应该积极应对,而不是抱怨 引言Python 代码第一篇 洞见 觉醒的力量(深度好文)第二篇 人民日报 来了!新闻早班车要闻社会政策 结尾 引言 横眉冷对千夫指,俯首甘为孺子牛 今天迸发出这样的一句话 …

Unity 使用 IL2CPP 发布项目

一、为什么用 IL2CPP Unity的IL2CPP(Intermediate Language to C)是一个编译技术,它将C#代码转换为C代码,然后再编译成平台相关的二进制代码。IL2CPP提供了几个优点,特别是在性能和跨平台部署方面。以下是IL2CPP的一些…

UI自动化框架搭建以及面试题详解(上)

UI自动化框架搭建以及面试题 UI自动化面试题框架面试题那你讲下如何搭建现成的框架公司里面的框架是你搭建的么请结合你的项目讲解一下你的框架是如何搭建的 PO模式什么是 PO 模式PO 模式的封装原则有哪些 DDT驱动模式什么的项目适合ddt ddt四种模式ddt处理各种类型数据 自动化…

完成产品兼容互认,用KubeBlocks可实现OceanBase集群管理

本文转载自云猿生聊技术(CloudNativeDataTech) 前言 KubeBlocks(简称 KB)在最新发布的0.7版本中,通过组件扩展(Addon)的形式新增了对OceanBase的支持功能。这一更新为企业级和非企业级用户提供…

摄影杂记一

摄影小白,最近买了一台微单,型号是佳能R10,加上18-150套机镜头和佳能RF 50 F1.8定焦镜头。开始学习摄影。 PS:摄影穷三代,单反毁一生。嘿嘿。 一、分镜头拍摄四步提升法 B站:六斤 拍视频三件事&#xff1…

线程池CompletableFuture异步编排复习笔记

一、线程回顾 1.1 初始化线程的 4 种方式 1)、继承 Thread public static class Thread01 extends Thread {Overridepublic void run() {System.out.println("当前线程:" Thread.currentThread().getId());int i 10 / 2;System.out.print…

十分钟搞定TCP三次握手面试

三次握手过程 1.客户端与客户端都处于close状态,服务器主动对某端口进行监听后处于LISTEN状态 2.客户端将SYN标志位置为1,向服务器发,SYN和初始序列号seq后处于SYN_SENT状态 2.服务器处于LISTEN状态,收到客户端发来的请求后将SYN和ACK的标志…

基于DCT和扩频的音频水印嵌入提取算法matlab仿真

目录 1.算法运行效果图预览 2.算法运行软件版本 3.部分核心程序 4.算法理论概述 5.算法完整程序工程 1.算法运行效果图预览 2.算法运行软件版本 matlab2022a 3.部分核心程序 ......................................................................... N 10; %嵌入一…

ubuntu安装编程字体DejaVu Sans Mono

DejaVu Sans Mono 安装命令: sudo apt-get install ttf-dejavu

唐刘:关于产品质量的思考 - 如何评估质量

在上一篇文章《 关于产品质量的思考 - 我的基本认知 》中,作者通过亲身经历分享了对产品质量的思考和认知:高质量的产品不仅仅是通过测试来保证的,更是通过在真实场景中不断打磨和改进得来的。本文为“关于产品质量的思考”系列的第二篇&…

2024.4.2-day07-CSS 盒子模型(显示模式、盒子模型)

个人主页:学习前端的小z 个人专栏:HTML5和CSS3悦读 本专栏旨在分享记录每日学习的前端知识和学习笔记的归纳总结,欢迎大家在评论区交流讨论! 文章目录 作业 2024.4.2 学习笔记CSS标签元素显示模式1 块元素2 行内元素3 行内块元素4…

每日OJ题_优先级队列_堆③_力扣692. 前K个高频单词

目录 力扣692. 前K个高频单词 解析代码 力扣692. 前K个高频单词 692. 前K个高频单词 难度 中等 给定一个单词列表 words 和一个整数 k ,返回前 k 个出现次数最多的单词。 返回的答案应该按单词出现频率由高到低排序。如果不同的单词有相同出现频率&#xff0c…

技术再度取得优势,人工智能兴起推动需求,美芯涨价收割市场,收割中国制造?...

独家首发 ------------- 分析机构指出一季度全球存储芯片涨价了15%左右,而近期三星半导体预测全球存储芯片的价格还将继续上涨,预计二季度至少上涨两成,显示出美系芯片在忍受了一年多的亏损之后再度联手涨价。 2022年中国存储芯片取得了重大进…

数据流图

数据字典 数据流图平衡原则 父图与子图之间的平衡子图内平衡

IP地址到底有什么用

IP地址在计算机网络中的作用至关重要,它不仅是设备在网络中的唯一标识,更是实现网络通信、网络管理和安全的关键要素。下面,我们将从多个方面详细阐述IP地址的作用。 首先,IP地址作为设备的唯一标识,为网络通信提供了…

Leetcode 17.电话号码的字母组合

题目 思路 输入的digits有几个数就有几层。 一层中有几个数则取决于输入的数字对应的字母有几个。 1.确定递归函数的返回值及参数: 其实参数不是一开始就确定好的,而是你在写递归函数的时候缺啥,就往进去传啥。 这里我就直接全部写出来。…

什么是物联网云平台

在信息化和智能化浪潮的推动下,物联网云平台作为连接物理世界与数字世界的桥梁,正日益成为企业数字化转型的关键支撑。物联网云平台通过集成先进的云计算、大数据分析和人工智能等技术,为企业提供了高效、安全、智能的数据处理和应用服务&…

爬虫实战一、Scrapy开发环境(Win10+Anaconda3)搭建

#前言 在这儿推荐使用Anaconda进行安装,并不推荐大家用pythonpip安装,因为pythonpip的坑实在是太多了。 #一、环境中准备: Win10(企业版)Anaconda3-5.0.1-Windows-x86_64,下载地址,如果打不开…