如何從國外AA，找出address、EIP (很簡單啦)

原文章由 maggie98 於 2007-8-27 06:56 發表


沒錯,

人物創點可能是因為
mov eax, 2
和
and eax, 0000ffff
所的記憶體空間是同樣大小,
所以使用mov eax, 2 只是改到 原來 and eax, 0000ffff的空間
不會去破壞下一行的空間, 所以code 沒有因被 ...

呣.....

所以要改之前要注意到所需空間必須≦原本指令的空間，這樣才不會影響到下一行囉....?

那麼要怎麼判斷指令佔了多少空間呢@@?

另外alloc(XXX, ?)那邊要怎麼決定劃給XXX的空間大小呢@@?

該不會是完全憑經驗吧  (汗)
************************************
小小的閒聊一下
剛剛翻了有話想說區以後發現
蝌蚪大教的該不會是國文吧(汗)

[ 本文章最後由 030256890 於 2007-8-27 16:20 編輯 ]

原文章由 030256890 於 2007-8-27 14:59 發表


呣.....

所以要改之前要注意到所需空間必須≦原本指令的空間，這樣才不會影響到下一行囉....?

那麼要怎麼判斷指令佔了多少空間呢@@?

另外alloc(XXX, ?)那邊要怎麼決定劃給XXX的空間大小呢@@?

該 ...

若你覺得自己加的code 不大就alloc 小一點,
若很大就加大,
不過我都不管大小, 一律給 1024,
要自己寫code 超過1k, 機律很小.


註: 蝌蚪有可能是國文喔, 所以大家最好注意一下注音文, 老師的本性, 會砍死你喔.

原文章由 maggie98 於 2007-8-27 16:40 發表


若你覺得自己加的code 不大就alloc 小一點,
若很大就加大,
不過我都不管大小, 一律給 1024,
要自己寫code 超過1k, 機律很小.


註: 蝌蚪有可能是國文喔, 所以大家最好注意一下注音文, 老師的本性,  ...

所以說還是有憑經驗的成分在阿(汗)

阿...我還想問一個

再enable下面不是通常會先加上很多東西嗎@@?

例如alloc、label、registersymbol那些的

要怎麼判斷應該加上哪些呢@@?
***************************小小的閒聊************************************
如果蝌蚪教的是國文的話
還好她不是教小學、國中生
不然大概會被氣死吧=3=

原文章由 030256890 於 2007-8-27 16:55 發表

所以說還是有憑經驗的成分在阿(汗)

阿...我還想問一個

再enable下面不是通常會先加上很多東西嗎@@?

例如alloc、label、registersymbol那些的

要怎麼判斷應該加上哪些呢@@?
******************** ...

建議用2^n(2的方次方)來當作alloc的大小，而label指的是標記，也可稱為標記點，registersymbol則是用來將變數註冊到電腦記憶體，CRC形式，不需要registersymbol
和unregistersymbol，除非script裡面有熱鍵控制、DX Pointer、PID等等才會加入，
EIP則跟CRC形式相反，且跟CRC返回有關的label(標記)和機械碼一律刪除處理，否則
會被CRC Check檢測出來！！
PS：樓上的兩位只猜對了3分之1，我教的科目不只一科 yociexp177.gif (連數學都教過)yociexp171.gif


[ 本文章最後由 soso741011 於 2007-8-27 18:09 編輯 ]

原文章由 soso741011 於 2007-8-27 17:13 發表


建議用2^n(2的方次方)來當作alloc的大小，而label指的是標記，也可稱為標記點，registersymbol則是用來將變數註冊到電腦記憶體，CRC形式，不需要registersymbol
和unregistersymbol，EIP則跟CRC形式相反， ...

天阿....頭昏眼花.....有看沒有懂Orz

有些CRC寫法的數據裡面還是有registersymbol的存在阿...

例如DDX2(貼CRC版本的數據出來應該無所謂吧~"~)

1. //Delay DupeX (DDX) by FusionFire5
   
2. //Version 2.0 for v41. updated by Bizarro
   
3. //DupeXSwitch Settings
   
4. //DXS = 0 No Vac
   
5. //DXS > 0 DupeXMonster
   
6. //DXS < 0 DupeXCharacter
   
7. [Enable]
   
8. alloc(DupeX, 256)
   
9. alloc(CharESI, 4)
   
10. alloc(CharPID, 4)
    
11. alloc(PreviousESI, 4)
    
12. alloc(DupeXSwitch, 4)
    
13. registerSymbol(DupeXSwitch)
    
14. label(NoVac)
    
15. label(DupeXVac)
    
16. label(LoadChar)
    
17. label(RefreshPID)
    
18. label(EndLoadChar)
    
19. label(LoadESI)
    
20. label(LoadPID)
    
21. label(EndLoadPID)
    
22. label(DelayDupeX)
    
23. label(EndDDX)
    
24. label(LoadPrevious)
    
25. label(NormalDupeX)
    
26. label(EndDupeX)
    
27. 
    
28. CharESI:
    
29. dd 00000000
    
30. CharPID:
    
31. dd 00000000
    
32. PreviousESI:
    
33. dd 00000000
    
34. DupeXSwitch:
    
35. dd 00000000
    
36. 
    
37. DupeX:
    
38. push eax
    
39. xor eax, eax
    
40. cmp eax, [DupeXSwitch]
    
41. je NoVac
    
42. jmp DupeXVac
    
43. 
    
44. NoVac:
    
45. mov [CharESI], eax
    
46. mov [CharPID], eax
    
47. mov [PreviousESI], eax
    
48. jmp NormalDupeX
    
49. 
    
50. DupeXVac:
    
51. call LoadChar
    
52. call DelayDupeX
    
53. cmp [CharESI], esi
    
54. je NormalDupeX
    
55. call LoadPrevious
    
56. jmp NormalDupeX
    
57. 
    
58. LoadChar:
    
59. call LoadESI
    
60. cmp eax, [CharPID]
    
61. je RefreshPID
    
62. cmp [DupeXSwitch], eax
    
63. jl RefreshPID
    
64. jmp EndLoadChar
    
65. RefreshPID:
    
66. call LoadPID
    
67. EndLoadChar:
    
68. ret
    
69. 
    
70. LoadESI:
    
71. push eax
    
72. mov eax,[007F44BC]
    
73. mov eax,[eax+8]
    
74. mov eax,[eax+648]
    
75. sub eax, C
    
76. mov [CharESI], eax
    
77. pop eax
    
78. ret
    
79. 
    
80. LoadPID:
    
81. push ebx
    
82. mov ebx, [CharESI]
    
83. mov ebx, [ebx+110]
    
84. cmp eax, ebx
    
85. je EndLoadPID
    
86. mov [CharPID], ebx
    
87. EndLoadPID:
    
88. pop ebx
    
89. ret
    
90. 
    
91. DelayDupeX:
    
92. push esi
    
93. mov esi, [PreviousESI]
    
94. test esi, esi
    
95. je EndDDX
    
96. mov eax, [CharPID]
    
97. mov [esi+110],eax
    
98. mov [esi+114],eax
    
99. EndDDX:
    
100. pop esi
     
101. ret
     
102. 
     
103. LoadPrevious:
     
104. mov [PreviousESI], esi
     
105. ret
     
106. 
     
107. NormalDupeX:
     
108. pop eax
     
109. mov [esi+114], edi
     
110. jmp EndDupeX
     
111. 
     
112. 6CC7CA:
     
113. jmp DupeX
     
114. nop
     
115. EndDupeX:
     
116. 
     
117. [Disable]
     
118. dealloc(DupeX)
     
119. dealloc(CharESI)
     
120. dealloc(CharPID)
     
121. dealloc(PreviousESI)
     
122. dealloc(DupeXSwitch)
     
123. unregisterSymbol(DupeXSwitch)
     
124. 6CC7CA:
     
125. mov [esi+00000114],edi

複製代碼

裡面的DupeXSwitch就有用到registersymbol…是因為要當成熱鍵的關係嗎~"~?

*********************************************************************************
1/3.....

所以蝌蚪是教3科囉=ˇ=

除了國文跟數學

最後一科應該是歷史吧@@?

有人說文史不分家嘛XD

原文章由 030256890 於 2007-8-27 17:34 發表

天阿....頭昏眼花.....有看沒有懂Orz

有些CRC寫法的數據裡面還是有registersymbol的存在阿...

例如DDX2(貼CRC版本的數據出來應該無所謂吧~"~)
//Delay DupeX (DDX) by FusionFire5
//Version 2.0 fo ...

剛的講法好像有些錯誤，我改過了，CRC形式若有出現registersymbol，通常都是
用來當作熱鍵控制，也就是改變value值來控制(DDX或Time Dupex等)，或者特殊的
DX Pointer(比如Slow dupex，裡面的Pointer offset：110)或PID等等，就會使用
變數宣告的方式！ 轉換的方式還是差不多，別想的太困難！！
PS：還是只答對2/3yociexp182.gif 關於hook和code的方式，若script編寫的不完整，很容易
發生斷線或與伺服器連線中斷的訊息！ 這邊的debug難度比一般編寫script還要高！


[ 本文章最後由 soso741011 於 2007-8-27 18:16 編輯 ]

原文章由 soso741011 於 2007-8-27 18:06 發表


剛的講法好像有些錯誤，CRC形式若有出現registersymbol，通常都是用來
當作熱鍵控制，也就是改變value值來控制(DDX或Time Dupex等)，或者特殊
的DX Pointer(比如Slow dupex)PID等等，就會使用變數宣告的方 ...

哇~
感謝 maggie98 大 & 蚵蚪大 ~yociexp190.gif   
幫我回答了好多問題yociexp171.gif
最近比較沒有時間放在研究ASM 上面yociexp177.gif
不是上班....就是出門yociexp161.gif
真是感謝兩位大大幫我回答呀>"<


補上：通常會造成斷線的原因~大都是做了不該做的事 or 沒有跳回原程式繼續往下執行程式~

另提....最近主要研究 真•白目無敵 ...
不過老實說~原理還真的不太懂....
只能依程式碼的Addres & 一些有的沒有的~
用邏輯思考它們之間的關係....
嗯=口="
尚在研究中yociexp183.gif
有難度

[ 本文章最後由 IcantLove 於 2007-8-27 18:13 編輯 ]

原文章由 IcantLove 於 2007-8-27 18:12 發表


哇~
感謝 maggie98 大 & 蚵蚪大 ~yociexp190.gif   
幫我回答了好多問題yociexp171.gif
最近比較沒有時間放在研究ASM 上面yociexp177.gif
不是上班....就是出門yociexp161.gif
真是感謝兩位大大幫我 ...

我的暑假只剩下3天而已   yociexp169.gif

原文章由 soso741011 於 2007-8-27 18:06 發表


PS：還是只答對2/3yociexp182.gif 關於hook和code的方式，若script編寫的不完整，很容易
發生斷線或與伺服器連線中斷的訊息！

還是2/3呀....最後一科跟國文大概是完全無關吧=3=

關於hook和code的方式
↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑
難道這個數據中有出現這種寫法嗎@@?

數據內容在下沒功力，看不懂OTZ

不過這個用起來還真的是常常斷線呢.....

至少不會Auto-Ban就好(汗)

(昨天實驗一天，斷了不下10次，還是沒有被AB)

我的暑假只剩下3天而已   yociexp169.gif

我還剩下10天左右也要開學了=口=

不知道為什麼淡江、銘傳、文化、中原都在17號左右開學

偏偏我的學校12號就開學....不公平啦>口<yociexp158.gif

[ 本文章最後由 030256890 於 2007-8-27 18:26 編輯 ]