|
используй scylla или imprec (import reconstructor) потом
брякаешь BaseThreadInitThunk если создается поток, в любом другом случае, смотришь как лоадер вызывает чит, и так же брякаешь этот способ.
либо же найти его EP из PE (OptionalHeader.AddressOfEntryPoint + base address) и так же брякнуть
чаще всего пешника не будет, с сервера сразу маппнутый образ прилетит, так что я предложил этот способ.
а как это поможет то, если ты импорты не деобфусцировал до этого какой-нибудь тулзой, но без этого я хз чо ты там фиксить собираешься
да я в курсе что scylla или imprec сами по себе не смогут восстановить импорты если они еще не деобфусцированы или не были реально резолвнуты во время работы
дампишь адреса и названия экспорты всех модулей из игры, в VEH'е фиксишь Rip, если он равен адресу одного из сдампленных экспортов, пример - твой гайд, ну и пару кряков публичных.
+реп за правильный ответ
зачем со мной моим же гайдом делиться, если речь ща про то, что сцилла никак не поможет зафиксить импорты которые под вмп находятся без дополнительных тулз
а как ты поймешь дошел ты до ОЕР или нет, если он будет под виртой? когда рантайм "отработает" и ты попробуешь юзнуть сциллу на него - чуда не случится, импорты не будут пофикшены
самый простой и банальный способ отслеживать переходы исполнения из виртуализированных секций(например, .vmp0) в нормальные секции например .text такой переход часто означает достижение реального OEP
