【游戏分析】非游戏领空追字符串来源

通过NPC名称找NPC数组

扫描 NPC名字  ASIC型

发现全部都有后缀

那么采用 字节集的方式去扫描

也是扫不到

说明:不是ASIC型字符串

扫描 NPC名字  Unicode型

没有结果

那么转换成字节集去扫描

终于发现结果了

把结果挨个修改字符串

 

发现   其中两个是可以用的     22和23    分别是人物头顶字符串和血条字符串

那么都可以使用

对名称下访问断

7692D335 >  8BFF            mov     edi, edi

7692D337    55              push    ebp

7692D338    8BEC            mov     ebp, esp

7692D33A    8B45 08         mov     eax, dword ptr [ebp+8]

7692D33D    66:8B08         mov     cx, word ptr [eax]               ; eax

7692D340    40              inc     eax

7692D341    40              inc     eax

7692D342    66:85C9         test    cx, cx

7692D345  ^ 75 F6           jnz     short 7692D33D

7692D347    2B45 08         sub     eax, dword ptr [ebp+8]

7692D34A    D1F8            sar     eax, 1

7692D34C    48              dec     eax

7692D34D    5D              pop     ebp

7692D34E    C3              retn

 

断到非游戏领空 ,并且该位置下断即断,其实是系统模块,所有字符串都会进行访问

那么我们只能通过堆栈跳回游戏领空

在断下的情况堆栈搜索 字符串指针   CTRL+L找到字符串最早出现的位置

来源某层CALL 的第一个参数

追第一个参数EAX即可

005D7074    8B93 50020000   mov     edx, dword ptr [ebx+250]

005D707A    8BBB 4C020000   mov     edi, dword ptr [ebx+24C]

005D7080    03D7            add     edx, edi

005D7082    52              push    edx

005D7083    55              push    ebp

005D7084    68 209A4B00     push    004B9A20

005D7089    EB 06           jmp     short 005D7091

005D708B    6A 00           push    0

005D708D    6A 00           push    0

005D708F    6A 00           push    0

005D7091    8B8B 0C020000   mov     ecx, dword ptr [ebx+20C]

005D7097    E8 94FB3300     call    00916C30

005D709C    8D4C24 5C       lea     ecx, dword ptr [esp+5C]

005D70A0    C68424 8C010000>mov     byte ptr [esp+18C], 1

005D70A8    E8 F3B93200     call    00902AA0

005D70AD    C78424 8C010000>mov     dword ptr [esp+18C], -1

005D70B8    8D4C24 1C       lea     ecx, dword ptr [esp+1C]

005D70BC    E9 42120000     jmp     005D8303

005D70C1    F7C7 00000080   test    edi, 80000000

005D70C7    0F84 3B120000   je      005D8308

005D70CD    F7C7 00000040   test    edi, 40000000

005D70D3    0F85 2F120000   jnz     005D8308

005D70D9    8BCB            mov     ecx, ebx

005D70DB    E8 E03BF2FF     call    004FACC0

005D70E0    8B40 20         mov     eax, dword ptr [eax+20]

005D70E3    6A 00           push    0

005D70E5    57              push    edi

005D70E6    8BC8            mov     ecx, eax

005D70E8    E8 D3CD0700     call    00653EC0                         ; eax CALL的返回值

005D70ED    8BE8            mov     ebp, eax                         ; [eax+314]

005D70EF    85ED            test    ebp, ebp

005D70F1    896C24 20       mov     dword ptr [esp+20], ebp

005D70F5    75 10           jnz     short 005D7107

005D70F7    8B03            mov     eax, dword ptr [ebx]

005D70F9    6A 01           push    1

005D70FB    55              push    ebp

005D70FC    55              push    ebp

005D70FD    8BCB            mov     ecx, ebx

005D70FF    FF50 20         call    dword ptr [eax+20]

005D7102    E9 01120000     jmp     005D8308

005D7107    8B85 14030000   mov     eax, dword ptr [ebp+314]         ; ebp 是非堆栈地址  [ebp+314]

005D710D    8D8C24 34010000 lea     ecx, dword ptr [esp+134]

005D7114    6A 01           push    1

005D7116    51              push    ecx

005D7117    50              push    eax                              ; 第一个参数

005D7118    E8 33522F00     call    008CC350

005D711D    8B8B 20020000   mov     ecx, dword ptr [ebx+220]

005D7123    83C4 0C         add     esp, 0C

005D7126    85C9            test    ecx, ecx

005D7128    74 2A           je      short 005D7154

005D712A    8B11            mov     edx, dword ptr [ecx]

005D712C    8D8424 34010000 lea     eax, dword ptr [esp+134]

005D7133    50              push    eax

005D7134    FF52 44         call    dword ptr [edx+44]

005D7137    8B8B 20020000   mov     ecx, dword ptr [ebx+220]

005D713D    8B55 00         mov     edx, dword ptr [ebp]

005D7140    8B31            mov     esi, dword ptr [ecx]

 

其中  [ebp+318]并非参数

分析ebp发现   其不是堆栈地址,那么318只是一个正常偏移而已

 

 

追到这里 我们需要进CALL 找EAX 的来源

但是 CALL里有很多代码  和跳转  那么我们需要 F7 走一遍 知道 CALL里面的跳转是怎么执行的

然后再-号逆向追寄存器即可

 

00653EC0    83EC 08         sub     esp, 8

00653EC3    56              push    esi

00653EC4    8B71 28         mov     esi, dword ptr [ecx+28]

00653EC7    85F6            test    esi, esi

00653EC9    57              push    edi

00653ECA    75 0C           jnz     short 00653ED8                   ; 跳

00653ECC    33C9            xor     ecx, ecx

00653ECE    884C24 0C       mov     byte ptr [esp+C], cl

00653ED2    8B4424 0C       mov     eax, dword ptr [esp+C]

00653ED6    EB 29           jmp     short 00653F01

00653ED8    8B7C24 14       mov     edi, dword ptr [esp+14]

00653EDC    33D2            xor     edx, edx

00653EDE    8BC7            mov     eax, edi

00653EE0    F7F6            div     esi

00653EE2    8B41 1C         mov     eax, dword ptr [ecx+1C]

00653EE5    8B0490          mov     eax, dword ptr [eax+edx*4]

00653EE8    85C0            test    eax, eax

00653EEA    74 0B           je      short 00653EF7

00653EEC    3978 08         cmp     dword ptr [eax+8], edi

00653EEF    74 1E           je      short 00653F0F                   ; 跳

00653EF1    8B00            mov     eax, dword ptr [eax]

00653EF3    85C0            test    eax, eax

00653EF5  ^ 75 F5           jnz     short 00653EEC

00653EF7    33C9            xor     ecx, ecx

00653EF9    884C24 0C       mov     byte ptr [esp+C], cl

00653EFD    8B4424 0C       mov     eax, dword ptr [esp+C]

00653F01    84C0            test    al, al

00653F03    75 18           jnz     short 00653F1D                   ; 跳

00653F05    5F              pop     edi

00653F06    33C0            xor     eax, eax

00653F08    5E              pop     esi

00653F09    83C4 08         add     esp, 8

00653F0C    C2 0800         retn    8

00653F0F    8D48 04         lea     ecx, dword ptr [eax+4]           ; [[ecx+4]+318]

00653F12    C64424 0C 01    mov     byte ptr [esp+C], 1

00653F17    8B4424 0C       mov     eax, dword ptr [esp+C]

00653F1B  ^ EB E4           jmp     short 00653F01                   ; 跳

00653F1D    8B4424 18       mov     eax, dword ptr [esp+18]

00653F21    85C0            test    eax, eax

00653F23    74 14           je      short 00653F39

00653F25    8B11            mov     edx, dword ptr [ecx]

00653F27    3982 E8000000   cmp     dword ptr [edx+E8], eax

00653F2D    74 0A           je      short 00653F39

00653F2F    5F              pop     edi

00653F30    33C0            xor     eax, eax

00653F32    5E              pop     esi

00653F33    83C4 08         add     esp, 8

00653F36    C2 0800         retn    8

00653F39    8B01            mov     eax, dword ptr [ecx]             ; [[ecx]+318]

00653F3B    5F              pop     edi

00653F3C    5E              pop     esi

00653F3D    83C4 08         add     esp, 8

00653F40    C2 0800         retn    8

 

 

 

NPC数组 偏移表达式如下:

[[[[[[[0D0DF1C]+1c]+8]+20]+1c]+edx*4]+4]+314

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/520511.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

SAR教程系列7——在cadence中用Spectrum工具FFT仿真ADC的ENOB、SNR等动态性能指标

SAR教程系列7——在cadence中用Spectrum工具FFT仿真ADC的ENOB、SNR等动态性能指标

首先在仿真之前,你得有一个ADC。然后是思考如何仿真的问题,如何加激励,如何使用相关工具查看仿真结果。假定你有一个可以仿真的ADC,大致经过下列步骤可以得到ADC的相关动态性能指标。 第一步:在ADC后面接一个理想的DA…
阅读更多...
实战解析:接口限流的一次简单实践

实战解析:接口限流的一次简单实践

1.写这篇文章的来由 有一段时间里,博客总是三天两头被打,其中就遇到了恶意刷接口的手段,对方明显使用的代码IP,由于博客并没有做这方面的措施,加上被大量盗刷的接口刚好是数据量最大的一篇文章数据,所以不…
阅读更多...
MySql下载安装及使用

MySql下载安装及使用

1.MySql下载 下载页 解压到想要安装的目录 2.配置系统环境 以管理员身份运行cmd命令行:输入mysql 回车,输出以下内容,表示mysql安装好了 3.初始化mysql(不设置无密码),执行以下命令 mysqld --initialize-insecure执行这个命…
阅读更多...
web学习笔记(五十三)身份认证

web学习笔记(五十三)身份认证

目录 1.Web 开发模式 1.1 服务端渲染的 Web 开发模式 1.2 服务端渲染的优缺点 1.3 前后端分离的 Web 开发模式 1.4 如何选择 Web 开发模式 2. 身份认证 2.1 Session 认证机制 3. 在 Express 中使用 Session 认证 3.1 安装express-session 中间件 3.2 配置 express-ses…
阅读更多...
课程16 吸收·色散·散射(视频P55-P60)

课程16 吸收·色散·散射(视频P55-P60)

吸收 色散 散射 吸收、色散、散射并称为分子光学;在一介质中,光的强度随传播距离而减少的现象,称为介质对光的吸收;介质的不均匀性将导致光的散射,散射到各个方向。光在介质中的传播速度小于真空光速,最终…
阅读更多...
dcm文件数据学习

dcm文件数据学习

simpleITK读取数据 import SimpleITK as sitk import numpy as np import matplotlib.pyplot as plt base_path "/Users/yxk/Desktop/test/" image sitk.ReadImage(base_path"000000.dcm") # type(image) <class SimpleITK.SimpleITK.Image> imag…
阅读更多...
789. 数的范围 (二分学习)左端大右,右端小左

789. 数的范围 (二分学习)左端大右,右端小左

题目链接https://www.acwing.com/file_system/file/content/whole/index/content/4317/ 当求左端点时&#xff0c;条件是a【mid】大于等于x&#xff0c;并把右端点缩小。 当求右端点时&#xff0c;条件是a【mid】小于等于x&#xff0c;并把左端点扩大。 1.确定一个区间&…
阅读更多...
机器人力觉控制(力源)原理及力矩传感器性能分析

机器人力觉控制(力源)原理及力矩传感器性能分析

机器人力控原理及其性能分析 在机器人的操作任务中&#xff0c;处理机器人和环境之间的物理接触是非常重要的。由于机器人系统的复杂性和不确定性&#xff0c;纯运动控制往往是不够的&#xff0c;因为即使是最精确的模型也无法完全准确地预测所有可能的情况。 当机器人在与环境…
阅读更多...
Qt5.15以上版本在线安装步骤,可选择更多早期版本

Qt5.15以上版本在线安装步骤,可选择更多早期版本

以ubuntu系统为例&#xff1a; 1、先去下载在线安装程序&#xff1a; https://download.qt.io/official_releases/online_installers/ 选择合适的版本&#xff0c;这里是在x64机器的ubuntu虚拟机里安装QT&#xff0c;所以选择如下版本&#xff1a; 或者直接在终端执行如下命令…
阅读更多...
56.合并区间

56.合并区间

这个C代码实现了一个名为Solution的类&#xff0c;其中有一个公共成员函数merge&#xff0c;该函数接收一个二维整数向量&#xff08;表示一系列闭区间&#xff09;&#xff0c;并返回一个新的二维整数向量&#xff0c;其中包含所有已合并的不重叠区间。 // 定义一个名为Solut…
阅读更多...
【Java+Springboot】----- 通过Idea快速创建SpringBoot项目操作方法

【Java+Springboot】----- 通过Idea快速创建SpringBoot项目操作方法

一、第一步&#xff1a; 点击选择【File】->【New】-> 【Project】 最后弹出[new Project]界面。 二、第二步&#xff1a; 1. 选择【Spring Initializr】 2. 然后选择【Project SDK】的版本 3. 然后 Choose Initializr Service URL 选择默认&#xff08;Default&#x…
阅读更多...
【漏洞复现】畅捷通T+ KeyInfoList.aspx SQL注入漏洞

【漏洞复现】畅捷通T+ KeyInfoList.aspx SQL注入漏洞

免责声明&#xff1a;文章来源互联网收集整理&#xff0c;请勿利用文章内的相关技术从事非法测试&#xff0c;由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失&#xff0c;均由使用者本人负责&#xff0c;所产生的一切不良后果与文章作者无关。该…
阅读更多...
pcb封装的丝印大小

pcb封装的丝印大小

下面的内容是我自己的看法&#xff0c;观点不同欢迎评论区讨论。 个人结论&#xff1a; 0402:4.1*37 0603:5*45 0805:6.6*60 1206:10.5*95 设计PCB时常用的封装有0402、0603、0805、1206不同的封装我认为应该对应不同的丝印大小。便于后期维修焊接&#xff0c;但是具体用…
阅读更多...
[挖坟]如何安装Shizuku和LSPatch并安装模块(不需要Root,非Magisk)

[挖坟]如何安装Shizuku和LSPatch并安装模块(不需要Root,非Magisk)

2023年12月13日&#xff0c;LSPatch 停止维护 2024年1月8日&#xff0c;LSPosed 停止维护 2024年1月8日&#xff0c;ZygiskNext 停止维护 2024年1月9日&#xff0c;KernelSU 停止维护 这里使用 ColorOS 14 演示&#xff0c;其他品牌手机类似 安装 Shizuku 官网: https://shiz…
阅读更多...
【论文通读】AgentStudio: A Toolkit for Building General Virtual Agents

【论文通读】AgentStudio: A Toolkit for Building General Virtual Agents

AgentStudio: A Toolkit for Building General Virtual Agents 前言AbstractMotivationFramework评估GUI GroudingReal-World Cross-Application Benchmark Suite Conclusion 前言 来自昆仑万象的一篇智能体环境数据大一统框架工作&#xff0c;对未来计算机智能体的发展具有指…
阅读更多...
京东云服务器地域和可用区选择方法,多因素考虑攻略

京东云服务器地域和可用区选择方法,多因素考虑攻略

京东云服务器地域如何选择&#xff1f;根据地理位置就近选择地域。京东云主机地域支持北京、宿迁、上海和广州&#xff0c;华北地区用户选择北京地域&#xff0c;华东地区用户可以选择上海或宿迁地区&#xff0c;南方用户选择广州地域。云服务器吧yunfuwuqiba.com整理京东云主机…
阅读更多...
PCI总线学习笔记:读写篇

PCI总线学习笔记:读写篇

前言 最近在写E1000网卡的驱动&#xff0c;这其中涉及到了PCI总线的相关内容。但是网上大部分关于PCI的文章都只局限在概念上的描述&#xff0c;并没有给出具体的例子来解释。这其实也是情理之中的&#xff0c;因为PCI总线规范就像是一个抽象的接口&#xff0c;其具体怎么实现…
阅读更多...
SnapGene:解码生命之链的强大工具 mac/win版

SnapGene:解码生命之链的强大工具 mac/win版

在生物科技日新月异的时代&#xff0c;DNA分析已成为众多科研领域不可或缺的工具。SnapGene DNA生物分析软件应运而生&#xff0c;以其强大的功能和直观的用户界面&#xff0c;赢得了众多科研人员的青睐。 SnapGene软件获取 SnapGene是一款功能全面的DNA序列分析工具&#xff…
阅读更多...
DevC++进行调试时,控制台出来后就闪退怎么解决

DevC++进行调试时,控制台出来后就闪退怎么解决

工具->编译选项->代码生成->连接器&#xff0c;然后将调试信息改成yes就可以了 如果有帮助麻烦点个赞呗
阅读更多...
【好书推荐-第十四期】《 互联网大厂晋升指南:从P5到P9的升级攻略》

【好书推荐-第十四期】《 互联网大厂晋升指南:从P5到P9的升级攻略》

&#x1f60e; 作者介绍&#xff1a;我是程序员洲洲&#xff0c;一个热爱写作的非著名程序员。CSDN全栈优质领域创作者、华为云博客社区云享专家、阿里云博客社区专家博主、前后端开发、人工智能研究生。公众号&#xff1a;洲与AI。 &#x1f388; 本文专栏&#xff1a;本文收录…
阅读更多...
最新文章

Copyright @ 2022~2023