채팅0
덤프하는법
먼저 xlua에서 loadbuffer 역할 하는 놈 찾아서 bp 검
콜스택 따라가서 존나 뒤져보면 평문으로 보이는 곳 있음
보안패치 안걸리게 함수 포인터 쓰는곳 찾아서 포인터 덮어쓰면 됨
( VTable을 찾던, IAT 역할 하는 곳 찾아서 하던 )
후킹할만 한 포인트 찾았으면 후킹함수에서 스크립트 덮어써야되는데 매개변수에 관련값이 없을수도 있음
그럴땐 스택 뒤져서 찾으면 됨
난 이런식으로 필터링했음
CONTEXT ctx;
RtlCaptureContext(&ctx);
u8* retAddress = (u8*)(*(u64*)ctx.R11);
if (*(retAddress + 0) == 0x44 &&
*(retAddress + 1) == 0x8B &&
*(retAddress + 3) == 0x8B &&
*(retAddress + 4) == 0x56 &&
*(retAddress + 9) == 0xE8)
{
string_t** ScriptBuffer = (string_t**)(ctx.R11 + 0xC0);
string_t** ChunkName = (string_t**)(ctx.R11 + 0xC8);
| 제목 | 작성자 | 작성일 | 조회 | |
|---|---|---|---|---|
| 56559 | 04-26 | 712 | ||
| 56558 | 04-26 | 1301 | ||
| 56557 | 04-26 | 575 | ||
| 56556 | 04-26 | 682 | ||
| 56555 | 04-26 | 690 | ||
| 56554 | 04-26 | 1185 | ||
| 56553 | 04-26 | 1533 | ||
| 56552 | 04-26 | 426 | ||
| 56551 | 04-26 | 400 | ||
| 56550 | 04-26 | 443 | ||
| 56549 | 04-26 | 488 | ||
| 56548 | 04-26 | 726 | ||
| 56547 | 04-26 | 1113 | ||
| 56546 | 04-26 | 1259 | ||
| 56545 | 04-26 | 1604 | ||
| 56544 | 04-26 | 572 | ||
| 56543 | 04-26 | 721 | ||
| 56542 | 덤프하는법+12 | 04-26 | 1451 | |
| 56541 | 04-26 | 647 | ||
| 56540 | 04-26 | 537 |
댓글12
..삽질
ㅋㅋㅋ ㅈㄴ 있어보이는거 처럼 말하네
대체 뭐에 긁힌건지 모르겠지만.. 이 치닷 병ㅅ들은 참 한결같음 아~~무것도 공유안하면서 올리면 뭐가 어쩌니 저쩌니 ㅋㅋ
너의 멍청함에 긁혔다 ㅋㅋ 애초에 월드 루아 함수가 바이트코드로 요청받아서 오는데 평문이 낄 자리가 어딨냐? ㅋㅋ 설마 chunk 에 평문 보인다고 호들갑 떤건 아니지? 그 평문이랑 열심히 해보쇼
ㅇㅇ 님이 이런식으로 지적열등감을 해소한다는거 잘 알겠음
근데 내가 한달만에 치닷 들어와서 이런거로 구라쳐서 얻을 이득도 이유도 하~~~~~나도 없다는것만 알아주셈 ㅋ
ㅇㅋㅇㅋ 오해가 있었나보네 공격적으로 말한건 사과할게 그런데 확실한건 http 요청으로 들어오는건 바이트코드뿐인건 맞아 아마 너가 본 평문은 다른거랑 헷갈렸을거야
난 너가 일부러 남들 삽질하게 하려고 틀린정보 뿌리는줄 알았어 미안
나도 욕해서 미안함 메랜은 몰라도 다른겜 보이는거 많음
리버서끼리 싸우지들 말고~ 화해 ㄱㄱ
흔드르라 이기야
어케하라는거임?
먼저 xlua에서 loadbuffer 역할 하는 놈 을 어케 찾아 ㅠㅠㅠㅠㅠㅠㅠ