009 数据结构逆向—数组(困难版)
文章目录[*]前言
[*]数组逆向
[*]通过人物血量查找人物属性
[*]调call取对象
[*]call内追局部变量
[*]逆向加密数组下标
[*]分析人物属性
[*]总结
前言 通过之前的分析,我们已经对数组结构有了一个简单的了解,这次就用幻想神域这个游戏来更加深入学习数组。
数组逆向通过人物血量查找人物属性 以人物血量为切入点,我们要找到所有的人物属性。
首先搜索当前人物血量
接着通过换装备的方式修改人物血量,最后剩下两个结果,一个是当前血量,一个是最大血量。通过修改数据可以分辨。
在OD中对这个地址下硬件访问断点。打开人物属性栏,会对人物所有属性进行访问,断点断下
这里在判断当前的人物血量是否为0,人物血量=eax+8。接着需要通过追踪eax的方式找到所有的人物属性。
eax来源于上一句call
进到call内,eax来源
血量=+8
上面有一句汇编将一个基地址赋值到eax,但这句代码实际上是没有执行的,所以这个地址是无效的。
eax实际上是来源于上面的call。
这个call内部的逻辑比较复杂,遇见这种情况可以用比较简单的方式,直接调用call来获取数据。
调call取对象 我们只要将这个call的参数分析出来,就可以直接调用call来获取返回值。这个call只有一个参数
参数eax是一个固定的值
往上追一下基址,就是一个基地址+0x40C
eax转成十进制之后像是一个ID
而调用这个call以后返回值+8的位置是人物的血量。这里可以大胆猜测一下,参数eax其实就是当前的人物ID,传入人物的ID以后会返回一个人物对象。对象加上偏移可以取到人物属性。
call内追局部变量 接着我们用正常的追踪方式继续追人物的血量基地址
血量=+8
继续进到call追踪eax的值
eax来源于,替换一下偏移表达式,继续追ebx
血量=[+C]+8
ebx来源于,继续追
血量=[[+0xC]+C]+8
作为一个局部变量只能存在于当前的函数内,但是我们往上找发现并没有,那就说明是来源于这个函数内的call
我们需要进入这个被执行的call找的来源。
追这个局部变量有两种方式,第一种是直接下断,单步跟每一行代码,看是哪行汇编改变了。这种方式没啥技术含量,这里我们用第二种。
局部变量想要传入call内被修改就必须通过指针的方式,这里我们可以查看一下这个call的参数
这个call有两个参数和,其中和最接近的就是,那么就有下面的等式
edx=ebp-8
用上面的等式往靠近
=
edx实际上是第一个参数
==[]+4]=
那么我们进入内层call以后要追的实际上就是
进入call内找,这里将赋值给了eax,然后将ecx赋值给了,这个就是我们要找的。所以
血量=[+C]+8
继续往上追ecx
ecx来源于,ecx又来源于ebp-0x14
血量=[[+0xC]+C]+8
血量=[[+0xC]+C]+8
血量=[[+0xC]+C]+8
继续追
来自ebx
血量=[+C]+8
ebx继续往上追,就找到了今天的目标数组了
血量=[[+0xC]+C]+8
eax是数组首地址,继续往上追eax。ebx是数组下标,值等于0x34。下标暂时先不管,后面会有个彩蛋~
eax来源于
血量=[[[+ebx*8+4]+0xC]+C]+8
esi来源于ecx,返回上一层找ecx
ecx来源于esi,表达式不变,继续返回上层追esi。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mkllCxu0-1587787548269)(009 数据结构逆向—数组(困难版)].assets/1587483144194.png)
esi又来源于ecx
血量=[[[+ebx*8+4]+0xC]+C]+8
来到函数头部,继续返回上层追ecx
ecx来源于ecx+0x410
血量=[[[+ebx*8+4]+0xC]+C]+8
再往上,总算是追到ecx的基地址了
血量=[[[[+0x410+0x14]+ebx*8+4]+0xC]+C]+8
逆向加密数组下标 到这里我们就把人物的数组追到了,但是还有个问题就是数组的下标0x3E是怎么来的,我们需要知道这个数组的排列规则,以及当前的下标为什么是0x3E。
所以这里就要考虑去追ebx的来源,看看这个0x3E是怎么得来的。
回到刚才数组的位置追ebx,ebx来源于
数组下标=eax*2
eax继续往上追
来到这个地方,这段代码明显是一个加密的算法。通过上面的左移右移的指令就能看出来,到这里其实就没有必要继续往上追了,如果需要写代码,直接将这段加密算法抠出来。
最后追出来的数组下标的算法为:
数组下标=((+0x40C*0x41]++0x40C/4+0x9E3779B9) and [+0x410+0x20])*2
到这里我们就清楚了人物数组下标的来源是通过加密的方式计算的。
分析人物属性 找完这个数据结构以后,我们来进行一个简单的分析。
血量=[[[[+0x410+0x14]+ebx*8+4]+0xC]+C]+8
我们把+8的属性偏移去掉,查看一下人物对象
dd [[[[+0x410+0x14]+ebx*8+4]+0xC]+C]
记得将ebx替换为加密的下标,我这里是0x34。
其中+8的位置是人物血量,+0x10的位置是人物等级,+0x18是移动速度,+0x24是人物最大血量,+0x30是暴击伤害。
其他的数据可以自己去分析,这里其实没啥技术含量,就是通过不断的对比和分析得出结论。
总结 到这里我们已经对数组有了一个深刻的理解,数组在所有的数据结构里属于最简单的一种,对于这类数据结构来说,只需要一直往上追就能找到想要的数据。如果遇到数据被加密的情况,可以逆推出加密算法,也可以直接将算法拷贝到自己的代码里。
另外在追数据的过程中,偏移表达式每一次变化都要做一次检验,在数据窗口查看当前的表达式是否正确,否则到后面很容易翻车。
最后,附上Github地址,里面有游戏下载链接和相关工具,需要请自取:
https://github.com/TonyChen56/GameReverseNote
页:
[1]