Гайд Lenght Disasm Game (GameOverlayRenderer.dll)

[ruslan20065]

Так как гайдов на тему нахождения этой "злостной" сигнатуры нет НИГДЕ, то я решил это выложить нашим форумчанам (ft, ev0, idk..)​

Сразу предупреждаю заядлых IDA мастеров, которые шарят как-либо найти её "быстрее" по определенным текстам из функи перед получением длины идут лесом, гайд предназначался для новичков-новичков, которые желают хоть чему-то научиться для обновления (и не только) своей пасты.

1. Первым шагом перед вступлением в великую команду IDA менеджеров, Вам нужно как ни странной зайти в саму: (иду 32?!) и выбрать нашу любимую DLL в выборе нового проекта, и дожидаемся получение нашего код сегмента.

2. Далее как ида получила всё что ей нужно, заходим в строку поиска, которая находиться в search -> Text... и вписываем туда следующий текст (на самом деле можно и по другому, но в данном гайде я указываю как удобно конкретно мне):


3. Как мы дождались поиска текста, мы увидим следующую картину:

Конкретно нас же интересует практически каждая строчка с Failed хуком, которая проверяет Valve (Это помогает нам найти уже саму функцию хука).

4. После того как мы выбрали любую из строчек с неудачным хуком, Вам понадобиться перейти к ней (двойным кликом ЛКМ) и нажать F5 (для получения псевдокода)


Мы получаем следующую практически всегда полностью похожую во всех фейлах (для своего удобства я выбрал хук FreeLibrary):


5. Так как эта проверка по сути наша подсказка напрямую к функции, то как можно увидеть dword_1010FFB0 проверяется после вызова функции sub_10072B90 (Это есть наша попытка хука функции с указанием некоторых чеков)

Нас от сюда интересует: sub_10072290, потому что это и есть хук, он и даёт возврат на его успешность. (Перейти также можно и путем одного нажатия ЛКМ и после же F5, либо же двойным кликом ЛКМ)

6. После успешного перехода, мы можем увидеть огромный кусок кода, из которого нас интересует лишь пару вещей:
Как и где устанавливается просчёт размера (size) конкретного оппкода?

Нам достаточно просто оттолкнуться от массива Size, который даёт полную наводку над работой с размером. И увидеть то что он устанавливается в первой же строчке по поиску:


7. Успех? Функция LDG (lenght_disasm_game) успешно была обнаружена нашими ручками. Ведь именно sub_100777D0 он и есть, теперь осталось по нему кликнуть 2 раза и перейти в представление общего кода (IDA View) и использовать sigmaker на инструкцию: push edi.

Затем получаем данную сигнатуру: 57 8B 7D ?? B8 ?? ?? ?? ?? 33 F6

 

[lenin123]

гайд на поиск сигнатуры это мощно брат

 

[ruslan20065]

гайд на поиск сигнатуры это мощно брат

Я сам охуел, когда люди не знают как найти простейшую сигну при её обновлении

 

[lews0]

Я сам охуел, когда люди не знают как найти простейшую сигну при её обновлении

я изменил гибрид хук на минхук

 

[sublime1337]

Так как гайдов на тему нахождения этой "злостной" сигнатуры нет НИГДЕ, то я решил это выложить нашим форумчанам (ft, ev0, idk..)​

Сразу предупреждаю заядлых IDA мастеров, которые шарят как-либо найти её "быстрее" по определенным текстам из функи перед получением длины идут лесом, гайд предназначался для новичков-новичков, которые желают хоть чему-то научиться для обновления (и не только) своей пасты.

1. Первым шагом перед вступлением в великую команду IDA менеджеров, Вам нужно как ни странной зайти в саму: (иду 32?!) и выбрать нашу любимую DLL в выборе нового проекта, и дожидаемся получение нашего код сегмента.

2. Далее как ида получила всё что ей нужно, заходим в строку поиска, которая находиться в search -> Text... и вписываем туда следующий текст (на самом деле можно и по другому, но в данном гайде я указываю как удобно конкретно мне):
Посмотреть вложение 290256

3. Как мы дождались поиска текста, мы увидим следующую картину:
Посмотреть вложение 290257
Конкретно нас же интересует практически каждая строчка с Failed хуком, которая проверяет Valve (Это помогает нам найти уже саму функцию хука).

4. После того как мы выбрали любую из строчек с неудачным хуком, Вам понадобиться перейти к ней (двойным кликом ЛКМ) и нажать F5 (для получения псевдокода)
Посмотреть вложение 290259

Мы получаем следующую практически всегда полностью похожую во всех фейлах (для своего удобства я выбрал хук FreeLibrary):
Посмотреть вложение 290260

5. Так как эта проверка по сути наша подсказка напрямую к функции, то как можно увидеть dword_1010FFB0 проверяется после вызова функции sub_10072B90 (Это есть наша попытка хука функции с указанием некоторых чеков)
Посмотреть вложение 290262
Нас от сюда интересует: sub_10072290, потому что это и есть хук, он и даёт возврат на его успешность. (Перейти также можно и путем одного нажатия ЛКМ и после же F5, либо же двойным кликом ЛКМ)

6. После успешного перехода, мы можем увидеть огромный кусок кода, из которого нас интересует лишь пару вещей:
Как и где устанавливается просчёт размера (size) конкретного оппкода?
Посмотреть вложение 290264
Нам достаточно просто оттолкнуться от массива Size, который даёт полную наводку над работой с размером. И увидеть то что он устанавливается в первой же строчке по поиску:
Посмотреть вложение 290265

7. Успех? Функция LDG (lenght_disasm_game) успешно была обнаружена нашими ручками. Ведь именно sub_100777D0 он и есть, теперь осталось по нему кликнуть 2 раза и перейти в представление общего кода (IDA View) и использовать sigmaker на инструкцию: push edi.
Посмотреть вложение 290266
Затем получаем данную сигнатуру: 57 8B 7D ?? B8 ?? ?? ?? ?? 33 F6

какой же ебаный кринж

 

[ruslan20065]

я изменил гибрид хук на минхук

Если человек логическую цепочку получения длины не может повторить, которая в чите уже готова, то и о переходе речи не идёт, поэтому тема скорее для них (+ сигну много кто уточнял и она ещё допом. обновилась недавно ещё раз)

какой же ебаный кринж

Аргументировано

 

[mj12]

(+ сигну много кто уточнял и она ещё допом. обновилась недавно ещё раз)

не понимаю зачем им эта сигна, в сурсе фт сломан код тикбазы т.е при включении фейклагов или даблтапа начинается rubberbanding

 

[lews0]

не понимаю зачем им эта сигна, в сурсе фт сломан код тикбазы т.е при включении фейклагов или даблтапа начинается rubberbanding

сама тикбаза рабочая, речарджу пизда

 

[ruslan20065]

не понимаю зачем им эта сигна, в сурсе фт сломан код тикбазы т.е при включении фейклагов или даблтапа начинается rubberbanding

да там и других проблем по горлу, даже та же самая оптимизация (даже с мультитрейдингом)

 

[mj12]

да там и других проблем по горлу, даже та же самая оптимизация (даже с мультитрейдингом)

с оптимизацией там вроде не всё так плохо, это ведь всё таки п2к чит был, люди ж как то играли с ним не жаловались

сама тикбаза рабочая, речарджу пизда

го пофиксим речардж)

 

[ruslan20065]

с оптимизацией там вроде не всё так плохо, это ведь всё таки п2к чит был, люди ж как то играли с ним не жаловались

го пофиксим речардж)

вот именно слитая версия даже с установкой лимитов от фт, сажает фпс при пике до 15 (hi scan)

 

[de0ver]

 

[ruslan20065]

Скрытое содержимое

 

[mj12]

вот именно слитая версия даже с установкой лимитов от фт, сажает фпс при пике до 15 (hi scan)

надеюсь ты не в дебаге тестил рейджбоб

 

[lews0]

с оптимизацией там вроде не всё так плохо, это ведь всё таки п2к чит был, люди ж как то играли с ним не жаловались

го пофиксим речардж)

так у меня фулл ворк сурс) хочешь в пиши, фикс оказался пиздец легким, а с фаталом я знаком не первый день

 

[lews0]

Пожалуйста, авторизуйтесь для просмотра ссылки.

филип молодец фулл запастил код имитатора

 

[ruslan20065]

Посмотреть вложение 290421

надеюсь ты не в дебаге тестил рейджбоб

Конечно нет)

 

[AkatsukiSun]

Пожалуйста, авторизуйтесь для просмотра ссылки.

филип молодец фулл запастил код имитатора

Всегда было смешно от "клоунов", которые думают, что ими делал рейджбот в последних версиях эвольва хах.