Начинающий
Начинающий
- Статус
- Оффлайн
- Регистрация
- 29 Июн 2019
- Сообщения
- 22
- Реакции
- 0
Всем привет, я начинающий в ревёрс инжиниринге.
Заранее прошу прощения за некорректное использование терминов...
Столкнулся с проблемой при попытке обойти антидебаг на игре Arena Breakout Infinite, GameLoader.exe в ней запускает что-то в роде упаковщика, который подгружает необходимые ему библиотеки и саму игру. Я поставил на конкретные участки памяти брейкпоинты, и нашёл различия между предыдущими и последним срабатыванием этой точки.
Первая итерация, например, содержит такие данные в регистрах (справа):
R11, как я понял, содержит путь подключаемой библиотеки (Закину еще пару итераций как док-во):
Так вот, на последней библиотеки, после подгрузки которой вылетает ошибка с прекращением работы игры, картина меняется:
Идти "внутрь" функций подгрузки этого файла не помогает - меня встречает что-то похожее на вечный цикл где например регистр r11 выполняет арифметические операции и переходит на r12. Я решил проверить это с предыдущими библиотеками - всё так же. Решил что это дело рук упаковщика.
Статический анализ (или по крайней мере его попытка) не увеначалась успехом в самом начале - gameloaderbase.dll отказывается загружаться в иду кроме как Binary и DOS режиме, а там сплошной мусор...
Прошу советов и вашего мнения насчёт моих действий и того, что нужно будет сделать... Заранее спасибо!
UPD: Забыл добавить: когда вылетает мой екзекутабл, в каких-то из окон дебагера я вижу упоминание ntdll.NtGetTickCount. Но я даже добраться до проверки со временем не могу!
UPD: Не думаю что мой пост был достаточно всем понятен потому что я нубло. Вот лог с журнала после которого, если продолжить выйдет краш. По крайней мере я мало понимаю что с этим надо делать.
UPD: Уделив ещё больше времени на эту задачу, я понял что щитпостнул. Описание проблемы не совсем соответствует действительности, единственное что нужно - понять где дампнуть длл.
Заранее прошу прощения за некорректное использование терминов...
Столкнулся с проблемой при попытке обойти антидебаг на игре Arena Breakout Infinite, GameLoader.exe в ней запускает что-то в роде упаковщика, который подгружает необходимые ему библиотеки и саму игру. Я поставил на конкретные участки памяти брейкпоинты, и нашёл различия между предыдущими и последним срабатыванием этой точки.
Первая итерация, например, содержит такие данные в регистрах (справа):
R11, как я понял, содержит путь подключаемой библиотеки (Закину еще пару итераций как док-во):
Так вот, на последней библиотеки, после подгрузки которой вылетает ошибка с прекращением работы игры, картина меняется:
Идти "внутрь" функций подгрузки этого файла не помогает - меня встречает что-то похожее на вечный цикл где например регистр r11 выполняет арифметические операции и переходит на r12. Я решил проверить это с предыдущими библиотеками - всё так же. Решил что это дело рук упаковщика.
Статический анализ (или по крайней мере его попытка) не увеначалась успехом в самом начале - gameloaderbase.dll отказывается загружаться в иду кроме как Binary и DOS режиме, а там сплошной мусор...
Прошу советов и вашего мнения насчёт моих действий и того, что нужно будет сделать... Заранее спасибо!
UPD: Забыл добавить: когда вылетает мой екзекутабл, в каких-то из окон дебагера я вижу упоминание ntdll.NtGetTickCount. Но я даже добраться до проверки со временем не могу!
UPD: Не думаю что мой пост был достаточно всем понятен потому что я нубло. Вот лог с журнала после которого, если продолжить выйдет краш. По крайней мере я мало понимаю что с этим надо делать.
UPD: Уделив ещё больше времени на эту задачу, я понял что щитпостнул. Описание проблемы не совсем соответствует действительности, единственное что нужно - понять где дампнуть длл.
Последнее редактирование:
