Что нового?

Гайд Продолжение. вбе(партикли)

а как мы определили 0x90 индекс в партиклях, где мы структуру для ParticleList определяем, чисто перебором или что-то на мысль навело?
 
infollible написал(а):
а как мы определили 0x90 индекс в партиклях, где мы структуру для ParticleList определяем, чисто перебором или что-то на мысль навело?
Нажмите для раскрытия...
по инструкции типа mov xxx, [yyy+90] которая взята из вроде SetControlPoint. ты туда из джс передаешь handle, из этого handle потом делается указатель на партикль а потом уже вызывается SetControlPoint из вмт
 
Вроде кроме CreatePanelWithCurrentContext ничего не нашел в дампе
Нашел вот эту, там UserMsg.particlemanager
 

Вложения

  • Снимок экрана (31).png
    Снимок экрана (31).png
    198.5 KB · Просмотры: 17
Последнее редактирование:
CreateParticle тебе нужен хреф. у меня нашло 3 штуки в дебагере. кликаю по всем 4 ищу там инструкцию lea yyy, [xxx] после хрефа, чекаю, вижу что это функция, иду туда, чекаю там каждый mov в dumpе и вижу в реклассе там RTTI CDOTA_ParticleManager : CGameParticleManager : CGameEventListener : IGameEventListener2
в итоге хреф четвертый по счету тебе нужен.там чуть ниже два lea rax, [какая-то_функция], тебе нужен второй lea по счету
1602875447563.png
 
Forex1337 написал(а):
Нашел я эту функу про которую ты писал, по всем mov прошелся почти не нашел там строки с CDOTA_ParticleManager
Нажмите для раскрытия...
там RTTI в реклассе чекай + чекай еще mov follow in dump->constant, не только value, забыл упомянуть, думал строка там в самом классе лежит а она рядом
 
Как мне ее правильно вызвать? Получил адрес, дальше тайпдеф с функой и вызов ее? Что за оффсет у тебя 0x35? Который
DPMP = particle_pat + 0x35?
 
Последнее редактирование:
Forex1337 написал(а):
Как мне ее правильно вызвать? Получил адрес, дальше тайпдеф с функой и вызов ее? Что за оффсет у тебя 0x35? Который
DPMP = particle_pat + 0x35?
Нажмите для раскрытия...
particle_pat это адрес функции
particle_pat + 0x123456 это адрес инструкции(mov xxx, [CDOTAPARTICLEMANAGERBLABLABLA]) вышеупомянутой функции из которой нужно из относительного адреса сделать абсолютный.
этот абсолютный адрес и будет указателем на указатель на CDOTAPARTICLEMANAGERBLABLABLA.
по входу в матч дереференсишь этот указатель и потом получаешь вмт и вызываешь что надо
вне матча этого класса не существует(указатель равен 0)
 
Как мне ее правильно вызвать?
Liberalist написал(а):
particle_pat это адрес функции
particle_pat + 0x123456 это адрес инструкции(mov xxx, [CDOTAPARTICLEMANAGERBLABLABLA]) вышеупомянутой функции из которой нужно из относительного адреса сделать абсолютный.
этот абсолютный адрес и будет указателем на указатель на CDOTAPARTICLEMANAGERBLABLABLA.
по входу в матч дереференсишь этот указатель и потом получаешь вмт и вызываешь что надо
вне матча этого класса не существует(указатель равен 0)
Нажмите для раскрытия...
Тоесть получается надо просто указатель на класс получить а позже вызвать функу из его вмт? В дилибе ща посмотрю этот класс, спасибо!
 
А где можно еще почитать про реверс дабы свои знания улучшить? Ток одну книжку читал, а именно Вскрытие покажет, да и то там все на x86 машине
 
Forex1337 написал(а):
А где можно еще почитать про реверс дабы свои знания улучшить? Ток одну книжку читал, а именно Вскрытие покажет, да и то там все на x86 машине
Нажмите для раскрытия...
хз я ничего не читал просто практика в дебагере
 
Forex1337 написал(а):
класинформер перестал работать лол, в либклиенте орет что работае только с компилятором msbuild, а там gnu++
Нажмите для раскрытия...
это же мак осовские бинарки, там нет msvc компилятора, он только под виндовсом в визуалке/отдельном сдк. а класс информер только под msvc
 
А вот смотри, я пытаюсь класс этот получить, сделал так
unsigned long long CDOTA_ParticleManager = GetAbsoluteAddress(particle_pattern + 0x35, 3, 7);
CMSG("Class : %s\n, n2hex(CDOTA_ParticleManager)");

И когда я адрес сую в реклас, там явно не класс этот
 
Forex1337 написал(а):
А вот смотри, я пытаюсь класс этот получить, сделал так
unsigned long long CDOTA_ParticleManager = GetAbsoluteAddress(particle_pattern + 0x35, 3, 7);
CMSG("Class : %s\n, n2hex(CDOTA_ParticleManager)");

И когда я адрес сую в реклас, там явно не класс этот
Нажмите для раскрытия...
ты сначала в дебагер зайди и чекни что находится по оффсету 0x35(а находится там собственно хлам), а потом вычисли новый оффсет(0x74)
 

Похожие темы

mhalaider
Гайд Aimware crack. Объяснение защиты и гайдик на crack
2
Ответы
29
Просмотры
11K
sasha21l
S
goshantisocial
Вопрос Поиск абсолютного адреса переменной
Ответы
5
Просмотры
456
_or_75
_or_75
colby57
Гайд [Reverse-Engineering] Разбор Overwatch 2: Исключения, ремаппинг, антиотладка
Ответы
13
Просмотры
4K
WantToFreak
WantToFreak
colby57
Гайд [Reverse-Engineering] Деобфусцируем импорты в Overwatch 2
Ответы
5
Просмотры
4K
hayk4500
hayk4500
Virtualizer
C++ Superior Spoof Call [CallStack Spoofer]
Ответы
5
Просмотры
2K
Kodama
Kodama
Немного о главном
Полезные мелочи
О нас

Проект предоставляет различный материал, относящийся к сфере киберспорта, программирования, ПО для игр, а также позволяет его участникам общаться на многие другие темы. Почта для жалоб: admin@yougame.biz

Поделиться страницей
Назад
Сверху Снизу