寻找突破口
1.首先寻找突破口,围绕一个“变”字去找
2.之前在别的课程中也给同学们说过,我们在找背包物品遍历,无非就是要先拿到物品对象
3.然而要拿到物品对象,必须先拿到物品属性,然后逆向分析拿到物品对象
4.那么问题来了, 怎么拿到物品属性呢?
5.这时候就要找到我们能够通过CE容易搜索出来的数据,比如:物品的数量
6.因为数量我们很好去控制他的数量
CE寻找数据
1.我们就搜索背包里面的药品数量
2.观察药品数量当前为520,经过我们改变和精确搜索,还剩下3个结果
3.怎么确定这3个地址那个是真正的物品数量的数据呢?
4.犹豫数量少,我们可以一个一个挨着修改,然后观察游戏物品数量的变化,从而得知那个是真正的数据
5.修改后发现是第三个地址
6.好,接下来拿到地址,我们用XDBG附加游戏,观察数据
寻找对象
1.接下来我们就需要找这个数据存在那个对象下,下一个硬件写入断点
2.我们去打怪减少血量,从而断到写入数量的汇编代码处
3.断下来后,观察到rax+18就是我们的数量地址,那么rax应该就是结构体首地址或者对象首地址
4.此时rax等于这个值0000021FAC59D750
5.我们观察这个地址,发现0000021FAC59D750+18的地址中的值0x1FC确实是我们的物品数量
寻找对象来源
1.接下来我们继续找rax等于0000021FAC59D750的来源,往上分析
2.结果发现就在本层这个rax来源一个CALL的返回值
3. 这个时候我们在这个CALL下断,为了确认下是否返回的是否是我们上面的对象
4.结果在这个CALL里面发现来源是rsi
5.继续找rsi来源
6.发现rsi来源rbp,同时rbp来源[rdx],结果就在我们以为来源是rdx的时候,我们发现rdx是堆栈地址,也就是来源是这个CALL的rdx参数,也就是第二个参数
7.好!这个时候我们来到这个CALL下断再看看rdx参数里面存着什么
8.观察到,的确,在调用这个CALL的时候,rdx堆栈里面已经存着对象了
9.接下来就继续找堆栈里面对象的来源
10.当我们往上找的时候,发现紧接着上面的CALL就有一个很熟悉的汇编语句
11.lea rdx, ss:[rsp+0x38]有经验的同学就知道这句汇编结合调用下面的CALL并把rdx作为第二个参数的含义是什么
12.其实就是传递一个局部变量的地址,然后CALL内部把需要的值写入rdx指向的地址中去
13.现在我们验证下,我们断下
14..咦!我们居然发现我们需要的对象怎么存在这个堆栈里面呢?其实是有的,只是经过这个CALL,才会被写入,也就是这个CALL很可能是一个获取对象的CALL,并把对象写入到rdx堆栈地址中,说明我们的猜测应该是对的,最终堆栈里面的对象来源就是这个CALL
15.分析参数,发现此时rdx堆栈地址里面存这2个对象,同时r8我们发现类似一个ID
16.经过这个CALL,rdx由原来的没有对象被写入了2个对象,刚好第一个对象就是我们需要找的物品对象
17.接下来继续找这个堆栈地址啥时候写入的这2个对象
18.这下就好办了,我们就在这个CALL下断点,然后转到rdx堆栈地址,观察此时是没有我们所需要的对象,这个时候按F7进入CALL,接着按F8,逐步分析啥时候写入了这个rdx堆栈地址中得值
19.当我们慢慢的分析,这里观察到一个遍历,而且还是一个结构体数组,每个结构体大小是0x60
20.发现一个结构体数组,了解过数组概念的同学都知道,我们只需要找首地址就行了,也就是rcx的地址
21.发现这个r11首地址来源r15,然后在函数头发现来源rcx,也就是这个CALL的第一个参数
22.我们看看rcx参数对象在内存存的是什么,居然我们的结构体数组在这个对象里面
分析结构体数组所在对象
1.我们发现居然确实有一个结构体数组
2.我们观察下这个结构体数组, 同时我们上面分析得到这个结构体数组中每个结构体大小为0x60
3.同时我们发现在每个0x60大小的结构体中还有一个结构体数组
4.我们进入分析看看,居然发现这个结构体数组中,每个大小为0x18,同时每个结构体+8 +10的2个对象就是我们写入上面rdx堆栈地址中的2个值
5.原来如此,此时我们就找到了遍历所在
6.但是!细心的同学发现我们的物品不是有32个吗,这个结构体数组才0xE
7.对的,的确是这样的,其实正如上面我们所看到的,在rcx对象中有0x60结构体,而每0x60结构体中+8 +10有一个物品结构体0x18数组
8.那么也就是把所有0x60结构体的物品0x18大小结构体数量加起来应该就是我们物品总数了
9.我们看看刚好前3个0x60结构体的物品0x18大小结构体一共有32个,这就对了
10.这里再说下,为什么有3个0x60结构体呢?
11.其实观察过这个游戏的同学就明白了!我们看看这个背包界面他有3个类型按钮,然后再数一数物品数量,你就明白啦!!!
12.好了,到这里我们整个遍历就找到了,还是比较简单,只是在这个CALL内部需要分析一段时间,但是呢有经验的同学其实根本不用去分析汇编了,只需要观察这个结构体数组我们去翻一翻内存就能分析出来!
13.到这里我们分析了遍历,知道了遍历就在rcx对象中,那么rcx对象存在哪里呢???这个时候就需要往上分析找来源啦,这个步骤相对来说就简单了很多!
寻找rcx来源
1.发现rcx来源[rcx+38]
2.这时候rcx就是一个对象了,因为我们在+0的地方看到了虚函数表首地址
3.继续分析找来源,发现来源rsi,结果在上面就看到来源一个CALL的返回值
4.进入CALL,分析
5.轻松的找到偏移表达式:[[[0x00007FF798D8E448]+30]+28] 是一个对象数组,而我们需要的rcx对象在这个对象数组索引为0x4的地方
6.这个4来源是哪里呢?其实就是这个CALL的参数传递进来的0xC,然后在CALL内部被计算成了4,其实我们写死就行了,因为调用这个CALL的时候,汇编也是写死的
7.好了我们整个背包物品遍历数据分析就到此结束了
8.敲了这么多字,希望大家喜欢,感谢同学们支持迪大学院285530835
9.多多点赞和收藏