一.《泽诺尼亚》背包物品数据分析和遍历

news2024/11/25 1:08:08

寻找突破口

1.首先寻找突破口,围绕一个“变”字去找

2.之前在别的课程中也给同学们说过,我们在找背包物品遍历,无非就是要先拿到物品对象

3.然而要拿到物品对象,必须先拿到物品属性,然后逆向分析拿到物品对象

4.那么问题来了, 怎么拿到物品属性呢?

5.这时候就要找到我们能够通过CE容易搜索出来的数据,比如:物品的数量

6.因为数量我们很好去控制他的数量

CE寻找数据

1.我们就搜索背包里面的药品数量

2.观察药品数量当前为520,经过我们改变和精确搜索,还剩下3个结果

3.怎么确定这3个地址那个是真正的物品数量的数据呢?

4.犹豫数量少,我们可以一个一个挨着修改,然后观察游戏物品数量的变化,从而得知那个是真正的数据

 

 5.修改后发现是第三个地址

6.好,接下来拿到地址,我们用XDBG附加游戏,观察数据

寻找对象

1.接下来我们就需要找这个数据存在那个对象下,下一个硬件写入断点

2.我们去打怪减少血量,从而断到写入数量的汇编代码处

3.断下来后,观察到rax+18就是我们的数量地址,那么rax应该就是结构体首地址或者对象首地址

4.此时rax等于这个值0000021FAC59D750

5.我们观察这个地址,发现0000021FAC59D750+18的地址中的值0x1FC确实是我们的物品数量

寻找对象来源

1.接下来我们继续找rax等于0000021FAC59D750的来源,往上分析

2.结果发现就在本层这个rax来源一个CALL的返回值

3. 这个时候我们在这个CALL下断,为了确认下是否返回的是否是我们上面的对象

4.结果在这个CALL里面发现来源是rsi

5.继续找rsi来源

6.发现rsi来源rbp,同时rbp来源[rdx],结果就在我们以为来源是rdx的时候,我们发现rdx是堆栈地址,也就是来源是这个CALL的rdx参数,也就是第二个参数

7.好!这个时候我们来到这个CALL下断再看看rdx参数里面存着什么

 8.观察到,的确,在调用这个CALL的时候,rdx堆栈里面已经存着对象了

9.接下来就继续找堆栈里面对象的来源

10.当我们往上找的时候,发现紧接着上面的CALL就有一个很熟悉的汇编语句

 11.lea rdx, ss:[rsp+0x38]有经验的同学就知道这句汇编结合调用下面的CALL并把rdx作为第二个参数的含义是什么

12.其实就是传递一个局部变量的地址,然后CALL内部把需要的值写入rdx指向的地址中去

13.现在我们验证下,我们断下

14..咦!我们居然发现我们需要的对象怎么存在这个堆栈里面呢?其实是有的,只是经过这个CALL,才会被写入,也就是这个CALL很可能是一个获取对象的CALL,并把对象写入到rdx堆栈地址中,说明我们的猜测应该是对的,最终堆栈里面的对象来源就是这个CALL

15.分析参数,发现此时rdx堆栈地址里面存这2个对象,同时r8我们发现类似一个ID

16.经过这个CALL,rdx由原来的没有对象被写入了2个对象,刚好第一个对象就是我们需要找的物品对象

17.接下来继续找这个堆栈地址啥时候写入的这2个对象

18.这下就好办了,我们就在这个CALL下断点,然后转到rdx堆栈地址,观察此时是没有我们所需要的对象,这个时候按F7进入CALL,接着按F8,逐步分析啥时候写入了这个rdx堆栈地址中得值

19.当我们慢慢的分析,这里观察到一个遍历,而且还是一个结构体数组,每个结构体大小是0x60

20.发现一个结构体数组,了解过数组概念的同学都知道,我们只需要找首地址就行了,也就是rcx的地址

21.发现这个r11首地址来源r15,然后在函数头发现来源rcx,也就是这个CALL的第一个参数

22.我们看看rcx参数对象在内存存的是什么,居然我们的结构体数组在这个对象里面

分析结构体数组所在对象

1.我们发现居然确实有一个结构体数组

2.我们观察下这个结构体数组, 同时我们上面分析得到这个结构体数组中每个结构体大小为0x60

3.同时我们发现在每个0x60大小的结构体中还有一个结构体数组

4.我们进入分析看看,居然发现这个结构体数组中,每个大小为0x18,同时每个结构体+8 +10的2个对象就是我们写入上面rdx堆栈地址中的2个值

5.原来如此,此时我们就找到了遍历所在

6.但是!细心的同学发现我们的物品不是有32个吗,这个结构体数组才0xE

7.对的,的确是这样的,其实正如上面我们所看到的,在rcx对象中有0x60结构体,而每0x60结构体中+8 +10有一个物品结构体0x18数组

8.那么也就是把所有0x60结构体的物品0x18大小结构体数量加起来应该就是我们物品总数了

9.我们看看刚好前3个0x60结构体的物品0x18大小结构体一共有32个,这就对了

10.这里再说下,为什么有3个0x60结构体呢?

11.其实观察过这个游戏的同学就明白了!我们看看这个背包界面他有3个类型按钮,然后再数一数物品数量,你就明白啦!!!

12.好了,到这里我们整个遍历就找到了,还是比较简单,只是在这个CALL内部需要分析一段时间,但是呢有经验的同学其实根本不用去分析汇编了,只需要观察这个结构体数组我们去翻一翻内存就能分析出来!

13.到这里我们分析了遍历,知道了遍历就在rcx对象中,那么rcx对象存在哪里呢???这个时候就需要往上分析找来源啦,这个步骤相对来说就简单了很多!

寻找rcx来源

 1.发现rcx来源[rcx+38]

2.这时候rcx就是一个对象了,因为我们在+0的地方看到了虚函数表首地址

3.继续分析找来源,发现来源rsi,结果在上面就看到来源一个CALL的返回值

4.进入CALL,分析

5.轻松的找到偏移表达式:[[[0x00007FF798D8E448]+30]+28] 是一个对象数组,而我们需要的rcx对象在这个对象数组索引为0x4的地方

6.这个4来源是哪里呢?其实就是这个CALL的参数传递进来的0xC,然后在CALL内部被计算成了4,其实我们写死就行了,因为调用这个CALL的时候,汇编也是写死的

7.好了我们整个背包物品遍历数据分析就到此结束了

8.敲了这么多字,希望大家喜欢,感谢同学们支持迪大学院285530835

9.多多点赞和收藏

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/708226.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Fiddler如何进行弱网测试

目录 前言 1、Fiddler设置 2、手机设置 3.设置模拟调制解调器的速度: 4.设置手机代理 前言 使用Fiddler对手机App应用进行抓包,可以对App接口进行测试,也可以了解App传输中流量使用及请求响应情况,从而测试数据传输过程中流量…

上海师范大学Windows端VPN使用教程及课表查询方法

1、首先强调:学生电子邮件和 VPN 服务须在修改初始密码之后才能登录使用。 2、其次: 学校已为每位新生开通了统一身份认证账号( CUID )(如:1000101010, 详见录取 通知书上的 CUID) 。 初始密码…

protobuf的Proto3语法学习 (二)

文章目录 五、proto3语法详解1. 字段规则2. 消息类型的定义与使⽤2.1 定义2.2 使⽤2.3 创建通讯录2.0版本2.3.1 通讯录2.0的写⼊实现2.3.2 通讯录2.0的读取实现2.3.3 验证写入是否正确 3. enum类型3.1 定义规则3.2 定义enum类型的注意事项3.3 升级通讯录⾄2.1版本 4. Any类型4.…

【SpringBoot】基于SSM框架的题库系统的设计与实现

文章结构 课题:一、项目简介主要功能技术选型 二、 模块介绍学生端教师端(一)考试管理(二)试题管理(三)学生成绩管理 管理员三、 B站项目演示地址 四、本项目其余相关博客 课题: 题库系统的设计与实现一、项目简介 简介:主要分为三个端&…

总结下 89C52 单片机中 Timer 2 作为定时器(工作在16位自动重装方式)的使用方法

从应用角度来学习,一切从效率(益)出发。 计数功能是指使用计数器的计数脉冲输入端(T0对应P3.4,T1对应P3.5,T2对应P1.0)对外部脉冲信号的计数;定时功能是指对内部晶振驱动时钟进行计…

Unittest初体验

前言 Unittest优点 UnitTest是Python自带的一个单元测试框架,具有以下特点: 1)轻量、简易,易于上手 2)根据自己的要求,定制优化,如httprunner就是基于unittest完成的 3)能够组织多个用例去执行 4)提供丰富的断言…

熔断与降级 Hystrix

一、Hystrix(豪猪)简介 1、Hystrix的设计目的 (1)对依赖服务调用时出现的调用延迟和调用失败进行控制和容错保护。 (2)阻止某一个依赖服务的故障在整个系统中蔓延,服务A->服务B->服务C,服务C故障了…

结构体和数据结构--结构体数组的定义和初始化

目录 一、结构体数组的定义 二、结构体数组的初始化 一、结构体数组的定义 一个结构体变量只能表示学生成绩管理表中的一个学生的记录信息,代表其中的一个实例,而实际数据库中有多个学生的记录,每个记录对应一个学生的信息,如何…

通过Python的tkinter,在滚动条中添加各种控件

在用tkinter设计UI时,需要在有限的空间里面堆叠多行元素,此时就需要用到滚动条的效果。案例效果如图: 框架思路: 通过tkinter中的画布canvas与滚动条scrollbar进行联动,并将所有的控件都塞入到画布canvas中。其中有一步对画布大小的设置也很关键,即canvas.config(width=…

存储过程和存储函数

存储过程没有返回值,存储函数有返回值 存储过程 存储过程的参数类型有这几种: 没有参数(无参数无返回值)带in(有参数无返回值)带out(无参数有返回值)跟着——在查询语句后面加上into看下面的例子即带in又…

“ReferenceError: Dialog is not defined“

“ReferenceError: Dialog is not defined” 解决办法:变成this.$dialog 引入 Dialog 组件后,会自动在 Vue 的 prototype 上挂载 $dialog 方法,在所有组件内部都可以直接调用此方法。

【Java EE】-博客系统一(前后端分离)

作者:学Java的冬瓜 博客主页:☀冬瓜的主页🌙 专栏:【JavaEE】 分享: 谜一样的 沉默着的 故事你真的在听吗 ——《平凡之路》 主要内容:准备工作:创建maven,引入依赖。设计数据库并编写数据库代码…

“去高精地图”跟“轻高精地图”有啥区别?落地的挑战又是啥? | 九章自动驾驶随笔之一...

交流群 | 进“传感器群/滑板底盘群/汽车基础软件群/域控制器群”请扫描文末二维码,添加九章小助手,务必备注交流群名称 真实姓名 公司 职位(不备注无法通过好友验证) 编辑 | 苏清涛 真正影响Mapless技术路线落地的最大难点在于…

C语言中的switch语句基本用法

导语:switch语句是一个多分支选择语句,并且可以支持嵌套 switch语句的基本格式 switch语句通过将表达式的值与常量值进行比对,如果相等则执行后面的语句,如果不相等则跳到下一个case语句,当表达式和常量值相等&#x…

探索Python条件语句的奇妙世界:解密逻辑与控制流

文章目录 前言if 语句if ... else ...多重判断(if ... elif ... else...)if 嵌套猜数字游戏三目运算符 前言 Python的条件语句用来根据特定的条件决定程序的执行流程。它允许程序根据条件的真假执行不同的代码块,从而实现不同情况下的不同操…

Linux系统Centos7 安装Tomcat详细步骤

必须安装过jdk (1)下载linux版本的tomcat🍉 https://tomcat.apache.org/download-90.cgi (2) 把tomcat软件放到linux中🍉 (3)解压🍉 (4)防火墙放行tomcat端口🍉 firewall-cmd -…

Verilog基础之十二、分频器实现

目录 一、前言 二、工程设计 2.1 工程代码 2.2 测试文件代码 2.3 综合结果 2.4 仿真结果 一、前言 分频器即将高频率的信号转化为更低频率的信号,常用的分频可使用锁相环PLL来实现,也可自己编写RTL代码来实现。根据分频的系数N(假设信号频率为M&am…

linux环境下重置mysql密码

一、my.cnf 首先,需要找到my.cnf这个文件。 Linux 操作系统中 MySQL 的配置文件是 my.cnf,一般会放在 /etc/my.cnf 或 /etc/mysql/my.cnf 目录下。总的来说,my.cnf 类似于 my.ini 配置文件。 如果实在找不到,使用命令&#xff…

C++ 信号处理

信号是由操作系统传给进程的中断,会提早终止一个程序。在 UNIX、LINUX、Mac OS X 或 Windows 系统上,可以通过按 CtrlC 产生中断。 有些信号不能被程序捕获,但是下表所列信号可以在程序中捕获,并可以基于信号采取适当的动作。这些…

组合预测模型 | Matlab基于时间卷积神经网络结合门控循环单元的(TCN-GRU)的回归预测预测,多变量输入模型

文章目录 效果一览文章概述部分源码参考资料效果一览 文章概述 基于时间卷积神经网络结合门控循环单元的(TCN-GRU)的回归预测预测,多变量输入模型(Matlab完整源码和数据) 基于时间卷积神经网络结合门控循环单元的(TCN-GRU)的回归预测预测,多变量输入模型(Matlab完整源码和数…