摘要:
对UE4 引擎进行分析 看到网上很少UE4资料(其实外网已经很多了),查阅了一些资料都是卖课程,看见好几套教程都在教逆向 BattleRoyaleTrainer 这个单机游戏,手法也都是一样的用CE 一直扫一直筛选,这虽然这是最简单暴力的方法, 个人认为也是最笨的~ 如果想彻底研究透 UE4 的SD 阅读全文
摘要:
CSGO 逆向快速找出自己各种状态与敌人状态: 寻找自己血量 游戏的偏移一般都是这样子,看起来很整齐的数据 我们需要点击 “显示反汇编” 看看这些数据是来自什么模块的,一般都是找 客户端的数据。 这里“血量”是客户端的 “血量2”是服务端的 来个快速的方法:找到真实地址 选中地址右键 》生成指针映射 阅读全文
摘要:
IDA的加载地址可能会跟 CE OD 等动态调试加载的地址不一样,所以得手动修正IDA的加载地址与CE OD 一致 第一步: 在CE查看被调试模块的基地址 下图service.dll基地址为 0x37bc0000 第二步:ida 下选择Edit-->Segments-->Rebase Program 阅读全文
摘要:
学习ARP 1.ARP是地址解析协议,每个主机都有一张“ARP”表,每当一台主机接入网络的时候这台主机是怎么发现其它设备?它是怎么判断IP地址是否冲突?依靠的就是ARP 当PC1 Ping PC2的时候PC1是不知道PC2是谁的,哪么它就会这样子发包 结构是 Frame(Ethernet()/ARP 阅读全文
摘要:
第一步:IDA查看这个函数的交叉引用,看到PspAlloCateThread 调用了该函数 二. 继续查看有谁调用了PspAllocateThread 这个函数 看到了一个导出函数 NtCreateUserProcess ,思路就是 NtCreateUserProcess --> PspAlloca 阅读全文
摘要:
一、驱动编写的基本写法 DriverEntry :相当main函数 DriverUnload : 卸载函数 VOID DriverUnload(PDRIVER_OBJECT pDriverObject) { DbgPrint("已卸载驱动!\n"); } NTSTATUS DriverEntry(P 阅读全文
摘要:
一、查看pte 0 可以看到当前 PTE为:FFFFF68000000000 得到PTE 之后可以根据公式 可以计算 PDE PPE PXE 的位置 g_PTE_BASE =(((虚拟地址 & 0xffffffffffff) >> 12)) << 3) + g_PTE_BASE)//这里的g_PTE 阅读全文
摘要:
阅读全文
摘要:
一、句柄表 内核对象保持在 _object_header+0x18 位置 句柄索引定位对应句柄的计算公式:handle = index / 4 * 8 #include "stdafx.h" #include <windows.h> int main(int argc, char* argv[]) 阅读全文
摘要:
CS 代码段寄存器 SS 堆栈段寄存器 DS 数据段寄存器 FS 寄存器 00 只想SEH链表指针 04 线程堆栈顶部(地址最小) 08 线程堆栈底部(地址最大) 0c SubSystemTib 10 FiberData 14 ArbitraryUserPointer 18 FS 段寄存器在内存中的 阅读全文