C++ перехват пакетов
|
C++ перехват пакетов
|
08-27-2016, 12:00 AM
flopix Написал:Подниму еще тему.Тут 3 варианта: 1) Зашить константой как это сделал я. Это просто и не нужно правиться. Ищем под отладкой и просто зашиваем. 2) Искать смещение динамически 3) В хф хандлеры вынесены в экспорт, так что там все просто. ![[Изображение: 4e38c909fcd08c5fcdf363b54a62.png]](http://klikr.org/4e38c909fcd08c5fcdf363b54a62.png)
08-27-2016, 12:51 AM
Старт VMT для UNetworkHandler вроде нашел по алгоритму описанному Akumu, но никак не могу найти смещение в таблице метода AddNetworkQueue. В C4, Il, H5, InfOdys оно идет по индексу 32-34 но тут попадаю в совсем другие функции.
Запустил Helios под отладкой до логина, но все равно запутался без экспорта  .
08-27-2016, 12:58 AM
flopix Написал:Старт VMT для UNetworkHandler вроде нашел по алгоритму описанному Akumu, но никак не могу найти смещение в таблице метода AddNetworkQueue. В C4, Il, H5, InfOdys оно идет по индексу 32-34 но тут попадаю в совсем другие функции.Чем тебя константа не устраивает то? А так оно там есть - ищи лучше 
08-27-2016, 07:39 PM
Zubastic Написал:Чем тебя константа не устраивает то? А так оно там есть - ищи лучше Ну например тем, что описанный мной метод работает на всех хрониках
08-27-2016, 07:50 PM
Akumu Написал:Ну например тем, что описанный мной метод работает на всех хрониках Да, но так мы получаем только указатель на VMT объекта UNetworkHanler. А функции в ней от хроник к хрониках идут в разном порядке.
08-27-2016, 07:56 PM
flopix Написал:Да, но так мы получаем только указатель на VMT объекта UNetworkHanler. Вы получаете указатель на объект, а vft/vmt находится по смещению 0. Akumu Написал:Вы получаете указатель на объект, а vft/vmt находится по смещению 0. суть та что все равно нужно шаманить с поиском нужной функции в разных хрониках по разному. Но согласен так уже проще. Добавлено через 1 минуту Akumu;417943 Написал:Вы получаете указатель на объект, а vft/vmt находится по смещению 0.О, значит я неправильно искал. Повторю. Чем вы отлаживаете L2? Я пользуюсь OllyDbg 1.10 +Phantom плагин. Но там конечно много что неудобно.
08-27-2016, 09:15 PM
flopix Написал:суть та что все равно нужно шаманить с поиском нужной функции в разных хрониках по разному. Но согласен так уже проще. Откройте в IDA конструктор любого объекта и сможете наблюдать как и что инициализируется. ![[Изображение: e21f496877.jpg]](http://dl2.joxi.net/drive/2016/08/27/0001/3646/101950/50/e21f496877.jpg) Согласно конвенции thiscall указатель на объект у нас лежит в ecx, на выделенном участке кода можете наблюдать куда помещается указатель на vft. Фантома для отладки большинства версий темиды вам хватит. Akumu Написал:pUGameEngine + 0x68 Хардкод смещения это такое, проще все искать в динамике. Понятно, конечно, что скорее всего смещения указателя на UNetworkHandler в экземпляре класса UGameEngine будет одинаковым, но корейцы нам этого не гарантируют( Добавлено через 3 минуты Akumu Написал:Откройте в IDA конструктор любого объекта и сможете наблюдать как и что инициализируется. А аттачь к работающему клиенту пашет?) Добавлено через 5 минут flopix Написал:Да, но так мы получаем только указатель на VMT объекта UNetworkHanler. Так ищи не через вмт, а в динамике. Индексы в вмт и правда постоянно будет плавать. |
|
« Предыдущая | Следующая »
|
| Возможно похожие темы ... | |||||
| Тема | Автор | Ответы | Просмотры | Последний пост | |
| Свой сниффер и редактор пакетов | 0 | 462 |
03-22-2024, 03:28 AM Последний пост: SiriusED |
||
| Реконструкция пакетов из WSARecv\WSASend | 3 | 2,492 |
04-17-2016, 08:34 PM Последний пост: Necroz-Team |
||
| Подмен пакетов | 4 | 3,090 |
06-16-2014, 07:24 PM Последний пост: PROGRAMMATOR |
||
| Опкоды пакетов при хуке | 3 | 2,435 |
07-09-2013, 04:18 PM Последний пост: Mifesto |
||
