Дизасм клиента. Пакеты.

[n3k0nation]

Так как в каждой теме уже надоело отвечать, то пусть будет эта, "общая".

Ищем пакеты:

Свернуть ↑
Source thread: t9054

Цитата:

Извиняюсь за некропост, но есть ли инфа по пакетами (строение) и опкодам для Грации Часть 2 инновы?

Или подскажите методичку как самостоятельно искать эту инфу в Engine.dll. Исходящие пакеты посмотреть я умею на предмет структуры и опкода, но входящие ещё не понял.

Заранее благодарен.

Снимаете темиду, восстанавливаете импорты/экспорты и смотрите список экспортируемых функций у класса UNetworkHandler

Clientpackets в понимании l2j.





Для serverpackets делаем поиск по "(Receive)"




Так же можно активировать консоль в клиенте (правим л2 ини, вводим команды на дебаг и показ консоли), в ней будут логгироваться все пакеты и большинство данных, которые прочитаны/записаны.

By KilRoy:
Добавлю:
Так же, чуть ниже данных хендлеров - располагаются функции обработки серверных пакетов(Можно найти и достать прямиком из таблицы пакетов)


Таблица пакетов и ее порядок точно такой же, как и порядок опкодов серверных пакетов.

Внутри найдется структура и логика обработки пакета(Копнув глубже, увидим трейс до функций движка клиента)


---
Но хотелось бы предупредить, некоторые пакеты не поддаются такому халявному просмотру, ибо находятся в теле ВМ темиды.

Свернуть ↑Развернуть ↓

Дамп с помощью OllyDbg:

Свернуть ↑
Source thread: t19816
Для этого понадобится операционная система WinXP и два плагина на ollydbg: PhantOm & StrongOD

Настройки плагинов:

Свернуть ↑

Код:

[Plugin PhantOm]
PEB=0
GETCOUNT=0
DRX=1
DRIVER=0
SETCONTEXT=0
DEBSTRING=0
WINVER=0
[Plugin StrongOD]
CreateProcessMode=0
HidePEB=1
IsPatchFloat=0
IsAdvGoto=1
KernelMode=1
KillPEBug=1
SuperEnumMod=1
AdvAttach=0
SkipExpection=1
OrdFirst=0
BreakOnLdr=0
BreakOnTls=1
RemoveEpOneShot=1
ShowBar=17
LoadSym=1
AutoUpdate=1
HideWindow=1
HideProcess=1
ProtectProcess=1
DriverKey=-82693034
DriverName=fengyue0
UpdateURL=http://www.cracklife.com/sod/update.txt

Свернуть ↑Развернуть ↓

By PROGRAMMATOR:
ALT + E (Executable modules) → Select your module → ALT + C (CPU) → Right click → Search for → All referenced text strings

Свернуть ↑Развернуть ↓

Снимаем темиду:

Свернуть ↑
Требуется WinXP и OllyDbg. Плагины на ольгу: PhantOm, StrongOD, ODBGScript.
Source thread: tuts4you
Мануал и скрипт: тык-тык

Свернуть ↑Развернуть ↓

Делаем бинарный дамп:

Свернуть ↑
Нам понадобится PETools.

Выбираем процесс, чуть ниже выбираем модуль (dll) которую будем дампать. Тыкаем по модулю правой кнопкой мыши, выбираем "Dump Full"

Свернуть ↑Развернуть ↓

[Deazer]

Наконец хоть кто-то развил эту тему, ибо мне очень тяжело рассказывать нюфагам что к чему.

[RedIst]

Такой вопрос, снял темиду с помощью скрипта получилась библиотека 30мб, клиент естественно не запускается, как получить рабочую библиотеку( хроники Interlude)

[darkevil]

Цитата:

Сообщение от RedIst

Такой вопрос, снял темиду с помощью скрипта получилась библиотека 30мб, клиент естественно не запускается, как получить рабочую библиотеку( хроники Interlude)

Если правильно снял, то клиент запустится.

[RedIst]

Цитата:

Сообщение от darkevil

Если правильно снял, то клиент запустится.

Запустил скрипт Themida - Winlicense Ultra Unpacker 1.4, скрипт успешно отработал и получил библиотеку 30 мб, что дальше надо сделать?

Добавлено через 3 минуты

Цитата:

Сообщение от darkevil

Если правильно снял, то клиент запустится.

Если у тебя есть рабочая распакованная dll для Interlude буду очень благодарен, если скинешь.

[Donatte]

Релоки чини. Если почистишь библиотеку от остатков Темиды, то будет где-то 8-10 мегабайт.

Добавлено через 51 секунду

Цитата:

Сообщение от RedIst

Если у тебя есть рабочая распакованная dll для Interlude буду очень благодарен, если скинешь.

На 746 протокол в шаре нет анпакнутой библиотеки.

[n3k0nation]

Некоторые скриншоты отвалились Постараюсь сделать новые в течении пары дней.

[RedIst]

/del

[n3k0nation]

Цитата:

Сообщение от RedIst

Почему её нету, судя по всему уже готовые решения есть чтобы её распаковать, просто я снимать протекторы не умею вообще, и это очень тормозит какое-то обучение в сторону изучения клиента. А 744 есть у кого-то? Будто издевается кто-то нигде в гугле ни 744 нету патча рабочего ни распакованой 746 просто супер

Добавлено через 4 минуты

Ты можешь объяснить почему она не работает после выполнения скрипта?

Если кроме запуска скриптов, Вы ничего не умеете, то даже не старайтесь. А делать за Вас очистку дллки - никто не будет, тут нет мазохистов.
Вам уже обьяснили, что требуется очистка. Более популярно: вычищайте тело темиды, после вычищайте вызовы в ее ресурс часть на оригинальные; не забываем про вызовы виртуальных функций - там нужно пересчитывать оффсет.
И да, не забываем восстановить импорты и экспорты вкупе с остальным PE.

[RedIst]

Цитата:

Сообщение от Pointer*Rage

Если кроме запуска скриптов, Вы ничего не умеете, то даже не старайтесь. А делать за Вас очистку дллки - никто не будет, тут нет мазохистов.
Вам уже обьяснили, что требуется очистка. Более популярно: вычищайте тело темиды, после вычищайте вызовы в ее ресурс часть на оригинальные; не забываем про вызовы виртуальных функций - там нужно пересчитывать оффсет.
И да, не забываем восстановить импорты и экспорты вкупе с остальным PE.

А в последней версии скрипта разве не автоматически восстанавливает импорты и экспорты? То есть чтобы длл работала надо потратить очень много времени и без очистки она работать не будет?