[原创]Hero联盟本地公告CALL寻找-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]Hero联盟本地公告CALL寻找

发表于: 2021-2-3 18:42 5860

[原创]Hero联盟本地公告CALL寻找

思源欲涩

2021-2-3 18:42

5860

因分析某辅助问题需要拿到喊话作为断点CALL回跟,本来想通过百度白嫖一下找了半天压根就没有.

使用工具:

本地公告CALL

图片描述

CE搜索默认utf-8编码字符串 "目前暂不可标记地图，请稍后再试。"
图片描述

会出现多个结果,因为刚才我们触发过本地提示多次,此时我们需要找到真正的提示输入源,每个字符串Ctrl+b 查看往上或往下出现了其他的一些本地字符串那么该字符串就是我们所需要的.如果刚开游戏那么只会出现一个结果.
图片描述

在该位置下断访问断点,连续发交流信息,如果超过五分钟未操作键鼠就会游戏断开
图片描述

到了回跟位置后我们需要记住一点,不要管CALL是做什么的!什么地方操作了字符串就在记事本上把反汇编和参数记录下，比如上图

如果我们不这样操作,而是一个字节一个字节的去读或每个相关的call都去跟,就会迷失在反汇编里.

一直跟到堆栈或寄存器中不会出现与提示字符串相关的数据,就可以开始测试我们的数据了.

CE 7.1

X64dbg

CE 7.1

X64dbg

思路: 当发送表情或交流信号超次数限制后会有本地消息提醒,通过该消息回跟即可

0054488B  | 50                   | push eax //本地消息字符串长度                                                      

0054488C  | 52                   | push edx //本地消息字符串                                 

0054488D  | E8 DE91FDFF          | call league of legends.51DA70

0054488B | 50 | push eax //

本地消息字符串长度

0054488C | 52 | push edx //本地消息字符串

0054488D | E8 DE91FDFF | call league of legends.51DA70

这是我得到数据

0054488B  | 50                   | push eax                                                                    |

0054488C  | 52                   | push edx                                                                    |

0054488D  | E8 DE91FDFF          | call league of legends.51DA70                                               |
 
0098FB0A  | 8D4C24 44            | lea ecx,dword ptr ss:[esp+44]                                                |

0098FB0E  | E8 0D70B7FF          | call league of legends.506B20                                               |
 
0098FEFD  | 56                   | push esi  0x1                                                               |

0098FEFE  | 57                   | push edi                                                                    |

0098FEFF  | FF50 10              | call dword ptr ds:[eax+10]                                                  |
 
0098FAE0  | 8D4424 44            | lea eax,dword ptr ss:[esp+44]                                               |

0098FAE4  | 68 E8FF9001          | push league of legends.190FFE8                                              | 190FFE8:" \t\n\r\f\v"

0098FAE9  | 50                   | push eax                                                                    |

0098FAEA  | 50                   | push eax                                                                    |

0098FAEB  | E8 E0604F00          | call league of legends.E85BD0                                               |

0098FAF0  | 83C4 0C              | add esp,C                                                                   |
 
014436A5  | 56                   | push esi                                                                    |

014436A6  | FF75 0C              | push dword ptr ss:[ebp+C]                                                   |

014436A9  | 57                   | push edi                                                                    |

014436AA  | 53                   | push ebx                                                                    |

014436AB  | E8 00AFFBFF          | call league of legends.13FE5B0                                              |
 
01422CF8  | 50                   | push eax                                                                    |

01422CF9  | E8 02070200          | call league of legends.1443400                                              |

这是我得到数据

0054488B | 50

| push eax                                                                    |

0054488C | 52

| push edx                                                                    |

0054488D | E8 DE91FDFF | call league of legends.51DA70 |

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

收藏・2

免费・3

支持

最新回复 (4)
鸭子咯咯哒雪币： 1041 活跃值： (733) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 117 粉丝 1 关注私信	鸭子咯咯哒 2 楼 ce那边按ctrl+b的内存浏览器右边显示字符是怎么显示中文的，我的显示空白字符 2021-2-3 21:09 0
思源欲涩雪币： 329 能力值： ( LV1，RANK：0 ) 在线值：发帖 5 回帖 53 粉丝 15 关注私信	思源欲涩 3 楼鸭子咯咯哒 ce那边按ctrl+b的内存浏览器右边显示字符是怎么显示中文的，我的显示空白字符内存窗口右键以utf-8显示 2021-2-5 08:25 0
mb_vofvuald 雪币： 4 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_vofvuald 4 楼插个题外话 x64dbg调试猪场某游戏(顺火暖)直接崩溃有什么好的办法处理吗有什么插件嘛指点一二 2021-2-6 01:47 0
思源欲涩雪币： 329 能力值： ( LV1，RANK：0 ) 在线值：发帖 5 回帖 53 粉丝 15 关注私信	思源欲涩 5 楼 mb_vofvuald 插个题外话 x64dbg调试猪场某游戏(顺火暖)直接崩溃有什么好的办法处理吗有什么插件嘛指点一二没搞过这游戏我也不是很清楚,如果你没有自建调试那么应该先把大部分已知的反调试给做了,把调试器进程窗口文件等等能拿到特征地方给隐藏或抹了..............再考虑进行反反调试 2021-2-10 08:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

思源欲涩

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (4)
鸭子咯咯哒雪币： 1041 活跃值： (733) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 117 粉丝 1 关注私信	鸭子咯咯哒 2 楼 ce那边按ctrl+b的内存浏览器右边显示字符是怎么显示中文的，我的显示空白字符 2021-2-3 21:09 0
思源欲涩雪币： 329 能力值： ( LV1，RANK：0 ) 在线值：发帖 5 回帖 53 粉丝 15 关注私信	思源欲涩 3 楼鸭子咯咯哒 ce那边按ctrl+b的内存浏览器右边显示字符是怎么显示中文的，我的显示空白字符内存窗口右键以utf-8显示 2021-2-5 08:25 0
mb_vofvuald 雪币： 4 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_vofvuald 4 楼插个题外话 x64dbg调试猪场某游戏(顺火暖)直接崩溃有什么好的办法处理吗有什么插件嘛指点一二 2021-2-6 01:47 0
思源欲涩雪币： 329 能力值： ( LV1，RANK：0 ) 在线值：发帖 5 回帖 53 粉丝 15 关注私信	思源欲涩 5 楼 mb_vofvuald 插个题外话 x64dbg调试猪场某游戏(顺火暖)直接崩溃有什么好的办法处理吗有什么插件嘛指点一二没搞过这游戏我也不是很清楚,如果你没有自建调试那么应该先把大部分已知的反调试给做了,把调试器进程窗口文件等等能拿到特征地方给隐藏或抹了..............再考虑进行反反调试 2021-2-10 08:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]Hero联盟 本地公告CALL寻找

[原创]Hero联盟本地公告CALL寻找