一.《泽诺尼亚》背包物品数据分析和遍历

寻找突破口

1.首先寻找突破口,围绕一个“变”字去找

2.之前在别的课程中也给同学们说过,我们在找背包物品遍历,无非就是要先拿到物品对象

3.然而要拿到物品对象,必须先拿到物品属性,然后逆向分析拿到物品对象

4.那么问题来了, 怎么拿到物品属性呢？

5.这时候就要找到我们能够通过CE容易搜索出来的数据,比如:物品的数量

6.因为数量我们很好去控制他的数量

CE寻找数据

1.我们就搜索背包里面的药品数量

2.观察药品数量当前为520,经过我们改变和精确搜索,还剩下3个结果

3.怎么确定这3个地址那个是真正的物品数量的数据呢？

4.犹豫数量少,我们可以一个一个挨着修改,然后观察游戏物品数量的变化,从而得知那个是真正的数据

 

 5.修改后发现是第三个地址

6.好,接下来拿到地址,我们用XDBG附加游戏,观察数据

寻找对象

1.接下来我们就需要找这个数据存在那个对象下,下一个硬件写入断点

2.我们去打怪减少血量,从而断到写入数量的汇编代码处

3.断下来后,观察到rax+18就是我们的数量地址,那么rax应该就是结构体首地址或者对象首地址

4.此时rax等于这个值0000021FAC59D750

5.我们观察这个地址,发现0000021FAC59D750+18的地址中的值0x1FC确实是我们的物品数量

寻找对象来源

1.接下来我们继续找rax等于0000021FAC59D750的来源,往上分析

2.结果发现就在本层这个rax来源一个CALL的返回值

3. 这个时候我们在这个CALL下断,为了确认下是否返回的是否是我们上面的对象

4.结果在这个CALL里面发现来源是rsi

5.继续找rsi来源

6.发现rsi来源rbp,同时rbp来源[rdx],结果就在我们以为来源是rdx的时候,我们发现rdx是堆栈地址,也就是来源是这个CALL的rdx参数,也就是第二个参数

7.好！这个时候我们来到这个CALL下断再看看rdx参数里面存着什么

 8.观察到,的确,在调用这个CALL的时候,rdx堆栈里面已经存着对象了

9.接下来就继续找堆栈里面对象的来源

10.当我们往上找的时候,发现紧接着上面的CALL就有一个很熟悉的汇编语句

 11.lea rdx, ss:[rsp+0x38]有经验的同学就知道这句汇编结合调用下面的CALL并把rdx作为第二个参数的含义是什么

12.其实就是传递一个局部变量的地址,然后CALL内部把需要的值写入rdx指向的地址中去

13.现在我们验证下,我们断下

14..咦!我们居然发现我们需要的对象怎么存在这个堆栈里面呢？其实是有的,只是经过这个CALL,才会被写入,也就是这个CALL很可能是一个获取对象的CALL,并把对象写入到rdx堆栈地址中,说明我们的猜测应该是对的,最终堆栈里面的对象来源就是这个CALL

15.分析参数,发现此时rdx堆栈地址里面存这2个对象,同时r8我们发现类似一个ID

16.经过这个CALL,rdx由原来的没有对象被写入了2个对象,刚好第一个对象就是我们需要找的物品对象

17.接下来继续找这个堆栈地址啥时候写入的这2个对象

18.这下就好办了,我们就在这个CALL下断点,然后转到rdx堆栈地址,观察此时是没有我们所需要的对象,这个时候按F7进入CALL,接着按F8,逐步分析啥时候写入了这个rdx堆栈地址中得值

19.当我们慢慢的分析,这里观察到一个遍历,而且还是一个结构体数组,每个结构体大小是0x60

20.发现一个结构体数组,了解过数组概念的同学都知道,我们只需要找首地址就行了,也就是rcx的地址

21.发现这个r11首地址来源r15,然后在函数头发现来源rcx,也就是这个CALL的第一个参数

22.我们看看rcx参数对象在内存存的是什么,居然我们的结构体数组在这个对象里面

分析结构体数组所在对象

1.我们发现居然确实有一个结构体数组

2.我们观察下这个结构体数组, 同时我们上面分析得到这个结构体数组中每个结构体大小为0x60

3.同时我们发现在每个0x60大小的结构体中还有一个结构体数组

4.我们进入分析看看,居然发现这个结构体数组中,每个大小为0x18,同时每个结构体+8 +10的2个对象就是我们写入上面rdx堆栈地址中的2个值

5.原来如此,此时我们就找到了遍历所在

6.但是！细心的同学发现我们的物品不是有32个吗,这个结构体数组才0xE

7.对的,的确是这样的,其实正如上面我们所看到的,在rcx对象中有0x60结构体,而每0x60结构体中+8 +10有一个物品结构体0x18数组

8.那么也就是把所有0x60结构体的物品0x18大小结构体数量加起来应该就是我们物品总数了

9.我们看看刚好前3个0x60结构体的物品0x18大小结构体一共有32个,这就对了

10.这里再说下,为什么有3个0x60结构体呢？

11.其实观察过这个游戏的同学就明白了！我们看看这个背包界面他有3个类型按钮,然后再数一数物品数量,你就明白啦！！！

12.好了,到这里我们整个遍历就找到了,还是比较简单,只是在这个CALL内部需要分析一段时间,但是呢有经验的同学其实根本不用去分析汇编了,只需要观察这个结构体数组我们去翻一翻内存就能分析出来!

13.到这里我们分析了遍历,知道了遍历就在rcx对象中,那么rcx对象存在哪里呢???这个时候就需要往上分析找来源啦,这个步骤相对来说就简单了很多！

寻找rcx来源

 1.发现rcx来源[rcx+38]

2.这时候rcx就是一个对象了,因为我们在+0的地方看到了虚函数表首地址

3.继续分析找来源,发现来源rsi,结果在上面就看到来源一个CALL的返回值

4.进入CALL,分析

5.轻松的找到偏移表达式:[[[0x00007FF798D8E448]+30]+28] 是一个对象数组,而我们需要的rcx对象在这个对象数组索引为0x4的地方

6.这个4来源是哪里呢？其实就是这个CALL的参数传递进来的0xC,然后在CALL内部被计算成了4,其实我们写死就行了,因为调用这个CALL的时候,汇编也是写死的

7.好了我们整个背包物品遍历数据分析就到此结束了

8.敲了这么多字,希望大家喜欢,感谢同学们支持迪大学院285530835

9.多多点赞和收藏