如何從國外AA，找出address、EIP (很簡單啦)

以下這是EMSv0.28 的 SpeedAttack

1. [ENABLE]
   
2. alloc(speedattack,300)
   
3. label(speed)
   
4. label(normal)
   
5. label(returnhere)
   
6. 
   
7. speedattack:
   
8. pushad
   
9. mov eax,[0079AC20]
   
10. mov edx,[eax+13C4]
    
11. mov ecx,04
    
12. mov eax,edx
    
13. shr edx,0f
    
14. idiv ecx
    
15. dec ecx
    
16. cmp edx,ecx
    
17. popad
    
18. jne normal
    
19. 
    
20. speed:
    
21. jmp 0042CA23
    
22. 
    
23. normal:
    
24. add eax,0a
    
25. mov [ebp+0c],eax
    
26. jmp returnhere
    
27. 
    
28. 0042C987:
    
29. jmp speedattack
    
30. db 90
    
31. returnhere:
    
32. 
    
33. [disable]
    
34. 0042C987: // 83 C0 ?? 89 45 ?? 83 BB
    
35. add eax,0a
    
36. mov [ebp+0c],eax
    
37. 
    
38. dealloc(speedattack)

複製代碼

基本上，要使用外掛，我們目前有兩種方式
一種是用CRC，一種是用EIP

何謂 CRC 的方式呢!?
就是，改變程式在記憶體的內容，所以程式執行到的指令就是我們已經改好的了！ (這樣子就達成我們所需的目的了!!)

何謂 EIP 的方式呢!?
就是，當程式 run 到某個位址時，跳到我們指定的位址 (此位址我們已將script寫入)，執行到的指令就是我們已經寫入好的了！
(用這種方式要注意，當我們寫入的 script 執行完後，必須再跳回原程式的下一個位址，否則會造成斷線)

ps:用EIP方式另一個注意事項就是，因為這種方式是使用 "中斷點" 的功能來達到我們的目的
    (原本中斷點是用來 debug 用的)
    因為CPU有限制四個中斷點，所以這也就是我們為什麼只能用四個代碼的原因！


因為我們目前使用CRC的方式，會被偵測到是外掛
所以我們只能用EIP的方式，來達到我們的目的 。

Q：如果找出我們要打入 EIP 是哪個位址呢!? 又是要輸入哪個的位址呢!?
A：直接從 [ENABLE] 下的 script 找，找到像這樣子的區段。

0042C987:
jmp speedattack

由此我們能看出，這段 script 是在  0042C987 的地方 jmp 到 speedattack (位址) 去執行。


感謝 dollwu 、 soso741011 兩位大大指教~
補上囉^^

在 [ENABLE] 的地方補上， registersymbol(speedattack)
在 [DISABLE] 的地方補上，Unregistersymbol(speedattack)


這樣子，就能找出來了yociexp170.gif  
夠簡單吧！！
這算是要學會轉國外數據的第一個步驟~

這是轉好後的樣子
如有轉錯，請會的大大指點一下^^
(未經實測，所以不知能不能用 yociexp178.gif )

1. [ENABLE]
   
2. //Address：0042C987
   
3. //EIP：speedattack   ←還沒轉
   
4. registersymbol(speedattack)
   
5. alloc(speedattack,300)
   
6. label(speed)
   
7. label(normal)
   
8. 
   
9. 
   
10. speedattack:
    
11. pushad
    
12. mov eax,[7FA070]
    
13. mov edx,[eax+1200]
    
14. mov ecx,04         
    
15. mov eax,edx        
    
16. shr edx,0f         
    
17. idiv ecx
    
18. dec ecx
    
19. cmp edx,ecx
    
20. popad
    
21. jne normal
    
22. 
    
23. speed:
    
24. jmp 0042CA23 (未轉成TWMS)
    
25. 
    
26. normal:
    
27. add eax,0a
    
28. mov [ebp+0c],eax
    
29. jmp 42c987的下一個address (還沒轉)
    
30. 
    
31. [disable]
    
32. unregistersymbol(speedattack)
    
33. dealloc(speedattack)

複製代碼

[ 本文章最後由 IcantLove 於 2007-8-24 17:19 編輯 ]

謝謝分享~

不過我都看不懂=     ="

原文章由 小強笑大強 於 2007-8-23 14:50 發表


要說清楚麻= =!!從浪XX光 ~~你在那發! 我誤會你摟!!
感謝

做到沙發~~YES~~yociexp182.gif   

哈
我想說看 帳號 就知道了呀=w="
所以沒想那麼多=口=""

[ 本文章最後由 IcantLove 於 2007-8-23 14:54 編輯 ]

原文章由 小強笑大強 於 2007-8-23 14:50 發表


轉貼也不說請出~~埃...

笨蛋(回文前請先查閱)，沒看到作者的論壇ＩＤ一模一樣？　是相同的人？
ＥＩＰ的使用方式，你漏了一個步驟，就是要把變數註冊到ＵＣＥ，
registersymbol(SpeedAttack)
最後則建議加入註銷，用來釋放記憶體的lable
unregistersymbol(SpeedAttack)

原文章由 soso741011 於 2007-8-23 14:58 發表


笨蛋(回文前請先查閱)，沒看到作者的論壇ＩＤ一模一樣？　是相同的人？
ＥＩＰ的使用方式，你漏了一個步驟，就是要把變數註冊到ＵＣＥ，
registersymbol(SpeedAttack)
最後則建議加入註銷，用來釋放記憶 ...

嗯嗯^^
跟 dollwu 大 補充的一樣=w=+
既然有2位大大都這麼覺得了
那我就補上囉yociexp182.gif

終於有大大發這樣的文了@@"

在發問區提問沒人回(淚)

期待待續第二發

由此我們能看出，這段 script 是在  0042C987 的地方 jmp 到 speedattack (位址) 去執行。

所以說改成EIP方式的話就是把數據寫入後speedattack的位址填到台版0042C987的對應位址的EIP去囉@@?

原文章由 030256890 於 2007-8-23 15:13 發表
終於有大大發這樣的文了@@"

在發問區提問沒人回(淚)

期待待續第二發

所以說改成EIP方式的話就是把數據寫入後speedattack的位址填到台版0042C987的對應位址的EIP去囉@@?

嗯~
沒錯
不過 "數據寫入" 這個步驟
"數據" 是做過處理的數據..
並非現在這個數據~

原文章由 IcantLove 於 2007-8-23 15:16 發表


嗯~
沒錯
不過 "數據寫入" 這個步驟
"數據" 是做過處理的數據..
並非現在這個數據~

嗯....數據要修改的部分是不是直接對程式的記憶體作修改的地方呀
例如
0042C987:
jmp speedattack
期待修改方法@@"
另外為什麼returnhere:
後面就沒東西了呀~"~?
常常看到很多數據都是如此
Slow dupex也是

原文章由 030256890 於 2007-8-23 15:33 發表

嗯....數據要修改的部分是不是直接對程式的記憶體作修改的地方呀
例如
0042C987:
jmp speedattack
期待修改方法@@"
另外為什麼returnhere:
後面就沒東西了呀~"~?
常常看到很多數據都是如此
Slow d ...

數據要修改的部分是不是直接對程式的記憶體作修改的地方呀

嗯...
應該不是=口="
直接對程式記憶體修改的地方要刪掉=w="
你可以大概有個這樣子的概念
我們是要讓程式執行到某個位址時，跳去執行我們寫的 script ，然後再跳回原程式。
至於我們寫的 script 內容是什麼呢!?
這就要看 script 想達成的功能是什麼了..

至於 returnhere: 這個東西
老實說我不知道是做什麼的= " =
可能是CRC寫法下，返回的功用!?  不太清楚耶=   "   =
沒用過CRC...

不過在用 EIP 方法時， returnhere:  是要刪掉的^^
所以不用理他yociexp196.gif

[ 本文章最後由 IcantLove 於 2007-8-23 15:56 編輯 ]