Поиск PackCall (Адрес функции для отправки пакетов) За 23 действия и один мат.
Кто-то скажет - ну все, посыпались гайды.
Не копипаст.(Почти баян)
Для поиска нужен Cheat Engine. Как скачать: в Google в поисковой строке вбить "Cheat Engine" без кавычек, нажать Enter. В результатах поиска (на момент написания гайда ссылка на оригинальный сайт выпадала первой) кликнуть по первой ссылке. Когда откроется страница, нажать на "Download Cheat Engine" в большом зеленом овале.
1. Запустить клиент и зайти любым персом в оконном режиме.
2. Желательно, но не обязательно отойти или отлететь в безлюдное (безперсовое) место. Это нужно, чтобы никто не мешал разнообразными запросами. Да и чем меньше действий происходит вокруг, тем меньше посылается пакетов как на клиент, так и с клиента.
2. Открыть инвентарь.
3. Запустить Cheat Engine.
4. Файл - открытие_процесса - выбрать процесс elemenclient.exe. Скрин
6. Ввести корректное значение BaseAdress для данного клиента. BaseAdress
Описание не обязательно, эта строка предназначена для удобства.
Тип 4 байта. Ок. Скрин
7. ПКМ по получившейся строке с базовым адресом, "Точка Останова на Доступ".
У кого англоязычная версия CE - "Find out what reads from this address". Скрин
8. Согласиться с присоединением отладчика. Внимание! После этого пункта PW начинает работать медленнее, как бы рывками. Не пугайтесь, так и должно быть. Скрин
9. В окне появится список адресов инструкций, которые обращаются к BaseAdress.
10. Ждать, пока новые адреса не перестанут появляться. Скрин
11. Прокрутить адреса скроллингом и ЛКМ на крайний снизу, чтобы его выделить.
12. "Alt"+"Tab" или другим способом сделать окно клиента активным.
13. Поводить мышкой над участком открытого окна инвентаря, ни на что не нажимая.
13. "Alt"+"Tab" или другим способом сделать окно Chat Engine активным.
14. Вот и попались адресочки! После выделенного адреса их целая куча.
15. Жаль, что они никому не нужны.
16. Повторить пункты 11 - 15 до тех пор, пока новые адреса не перестанут появляться.
17. Сделать окно клиента активным и в инвентаре перенести любой предмет из одной ячейки в другую. Сколько раз будет перенесен предмет с ячейки в ячейку, такой и счетчик будет на нужном адресе. Скрин
18. Вернуться к Cheat Engine и нажать кнопку стоп. Скрин
19. По очереди выделять адреса после выделенного в 11 пункте и, нажав на него ПКМ, выбирать включение отладчика. (По подсказке VeTaL_UA можно просто выделить нужную строку с адресом и нажать справа кнопку Отладчик. Но это для очень ленивых. Никогда так не поступайте, если еще дочитали до этого пункта) Скрин
20. В открывшемся отладчике нужно искать примерно такое сочетание текста. То есть сначала в регистр загружается значение базового адреса, потом в регистр ecx загружается значение BA+20, в стек сохраняется сначала длинна пакета, потом адрес пакета, потом управление передается функции. Скрин
21. Вместо адреса функции получается мистическое число elementclient.exe+23DB70
22. Так как число мистическое, нужно и поступать с ним мистически. Нужно громко вслух произнести свою фамилию и быстро сложить на пальцах два шестнадцатиричных числа - 0x400000 и получившееся 0x23DB70. Если с первого раза не выйдет, нужно как можно громче произнести любой мат на свой выбор. (0x400000 - это разница между положением почти любого байта в файле elementclient и в процессе от этого же файла)
23. При поиске нужно знать одну истину - если при обновлении клиента BaseAdress стал больше, то и адрес искомой функции тоже будет больше. (Пока китайские братья не надумают капитально изменить исходник). Поэтому если получаемый адрес функции, допустим, меньше, то либо пальцев у вас 10 (Для быстрого счета по шестнадцатиричной системе рекомендуется купировать два пальца), либо найденный адрес только притворяется валидным, и прийдется просматривать найденное дальше, или даже начинать заново.
Всё
Последний раз редактировалось sumikot; 10.02.2014 в 11:50.
[Ссылки могут видеть только зарегистрированные пользователи. ]
Мы не ищем лёгких путей?
________________
Для просмотра ссылок или изображений в подписях, у Вас должно быть не менее 10 сообщение(ий). Сейчас у Вас 0 сообщение(ий). пишет отсюда, когда сидит с мобильного телефона. Привязка по ІР Для просмотра ссылок или изображений в подписях, у Вас должно быть не менее 10 сообщение(ий). Сейчас у Вас 0 сообщение(ий).
Зачем? Даже расписал все так, чтобы никто не понял. На самом деле просто привычка. Даже файл, лежащий с корзиной рядом, удалю не через перетаскивание, а через ЛКМ-"Del" или ПКМ-Удалить. Это уже не исправить...
ЗЫ кстати, именно для таких как я в Cheat Engine кроме кнопок есть еще действия через ПКМ
Последний раз редактировалось sumikot; 05.07.2012 в 11:57.
Точно. По ссылке Nitrogen, первая строка - сайт производителя данной продукции.
Цитата:
Сообщение от Nitrogen
а я использую shift + del, корзина у меня всегда пустая
У меня на домашнем ее вообще нет... Года два как удалил с помощью реестра. А вот на работе не получается - шеф выпадает в ступор. Потому как корзина должна быть. "Штоб была возможность достать неправильно удаленный файл"
IDA не парсит, только декомпилирует. Парсит программа, специально для этого написанная.
ммм....кто так решил??? ИДА более чем заменяет Олю+Cheat Engine+артмани вместе. Ах да, там на англицком.
тут дело предпочтений. самый легкий способ поиска (сам таким пользуюсь) инжектов и адресов через системные сообщения в чате. но для этого нужно ТОЧНО знать что ищете и механику клиента.
на пункте 8 вылетает клиент, через IDA замучался искать этот адресс, потому что гайд очень неподробный да и не ищет он эту комбинацию слов, скажите пожалуйста как исправить проблему с вылетом? если никак то какие ещё есть спопособы узнать sendpacket
ммм....кто так решил??? ИДА более чем заменяет Олю+Cheat Engine+артмани вместе.
Нууу... Микроскопом тоже можно орехи колоть.... Только этот способ использования разработчиками микроскопа в мануале почему то не описан. А чтобы Вам не быть голословным - способ парсинга подгружаемого процесса с помощью регулярного выражения без использования плагинов - в студию - в виде отдельной темы. Так как ЭТА тема - совсем не про Interactive Disassembler.
Цитата:
Сообщение от GenOstr
самый легкий способ поиска (сам таким пользуюсь) инжектов и адресов через системные сообщения в чате
Я хочу это видеть!!! Я может, и неправильно понял именно это предложение, но просмотр гайда на тему поиска адресов всех инжектов в PW через системные сообщения в чате был бы для меня равноценен, допустим... прослушиванием эксклюзивного концерта Аллы Борисовны для одного зрителя, причем не в записи.
Цитата:
Сообщение от mr-anri
на пункте 8 вылетает клиент
Cheat Engine скачан с официального сайта? При установке/использовании антивирус выключен?
Система ХР32? (на других может быть небольшой, хоть и устраняемый гемор)
Цитата:
Сообщение от mr-anri
через IDA замучался искать этот адресс
Тут я ничем не помогу, так как именно этот способ не проверял. Но там и описывать нечего, всего 2 действия. А про то, что не ищет - возможно, что в твоем клиенте код не совсем такой... Или версия IDA не та. Второе вероятнее, так как с выходом новых версий немного изменялся способ обработки кода, добавлялись и изменялись библиотеки. Поэтому вполне вероятно, что в дизассемблированном тексте этот код может выглядеть немного по другому. По смыслу он будет одинаков, а вот по написанию, хотя бы, например, по количеству пробелов - нет.
Как выглядит начало функции на IDA 4 версии (название функции было изменено вручную):
Как выглядит в версии, близкой к гайду:
Понятно, что в гайде версия намного новее и четверка просто по другому отображает переданные в функцию аргументы (в коментарии их вообще нет, а поиск производится именно по коментарию). О поиске не может быть и речи...
Последний раз редактировалось sumikot; 05.07.2012 в 15:17.
Cheat Engine скачан с официального сайта? При установке/использовании антивирус выключен?
Система ХР32? (на других может быть небольшой, хоть и устраняемый гемор)
Да, CE скачан с оф. сайта, анти-вирь выключен и там, и там
XP SP3...
Клиент не вылетает, но начинает жутко виснуть, и через 20-30сек просто перестаёт показывать признаки жизни... Что делать? =-=
Сделал, как написано, нажал на стоп - вылетел клиент(?!) Что за фигня!
После мучений в 2 часа - осилил я всё это. Спасибо за гайд.)
Последний раз редактировалось Tama11; 19.07.2012 в 02:44.
Регистрация: 21.09.2009
Сообщений: 189
Популярность: 578
Сказал(а) спасибо: 27
Поиск PackCall за 23 действия
Золото Zhyk.Ru: 300 
