[Статья] Поиск PackCall за 23 действия - Zhyk.Ru Forums
Регистрация Главная Пользователи Все разделы прочитаны
Сообщения за день Справка Регистрация
Навигация
Zhyk.Ru LIVE! Реклама на Zhyk.Ru Доска почета top.zhyk.ru (beta) Премиум-аккаунт

Поиск PackCall за 23 действия

-

Разработка ПО для Perfect World

- Бюро разработчиков Zhyk.Ru: создание ботов, снифферов и прочих программ для Perfect World

Ответ
 
Опции темы Опции просмотра
Старый 03.07.2012, 20:23   #1
 Старший сержант
Аватар для sumikot
 
sumikot излучает ауруsumikot излучает ауруsumikot излучает ауруsumikot излучает ауруsumikot излучает ауруsumikot излучает ауру
Регистрация: 21.09.2009
Сообщений: 189
Популярность: 578
Сказал(а) спасибо: 27
Поблагодарили 144 раз(а) в 36 сообщениях
 
По умолчанию Поиск PackCall за 23 действия

Поиск PackCall (Адрес функции для отправки пакетов) За 23 действия и один мат.
Кто-то скажет - ну все, посыпались гайды.
Не копипаст.(Почти баян)

Для поиска нужен Cheat Engine. Как скачать: в Google в поисковой строке вбить "Cheat Engine" без кавычек, нажать Enter. В результатах поиска (на момент написания гайда ссылка на оригинальный сайт выпадала первой) кликнуть по первой ссылке. Когда откроется страница, нажать на "Download Cheat Engine" в большом зеленом овале.

1. Запустить клиент и зайти любым персом в оконном режиме.
2. Желательно, но не обязательно отойти или отлететь в безлюдное (безперсовое) место. Это нужно, чтобы никто не мешал разнообразными запросами. Да и чем меньше действий происходит вокруг, тем меньше посылается пакетов как на клиент, так и с клиента.
2. Открыть инвентарь.
3. Запустить Cheat Engine.
4. Файл - открытие_процесса - выбрать процесс elemenclient.exe.
Скрин
Скрин
5. Нажать кнопку добавить адрес.
Скрин
6. Ввести корректное значение BaseAdress для данного клиента.
BaseAdress
Описание не обязательно, эта строка предназначена для удобства.
Тип 4 байта. Ок.
Скрин
7. ПКМ по получившейся строке с базовым адресом, "Точка Останова на Доступ".
У кого англоязычная версия CE - "Find out what reads from this address".
Скрин
8. Согласиться с присоединением отладчика. Внимание! После этого пункта PW начинает работать медленнее, как бы рывками. Не пугайтесь, так и должно быть.
Скрин
9. В окне появится список адресов инструкций, которые обращаются к BaseAdress.
10. Ждать, пока новые адреса не перестанут появляться.
Скрин
11. Прокрутить адреса скроллингом и ЛКМ на крайний снизу, чтобы его выделить.
12. "Alt"+"Tab" или другим способом сделать окно клиента активным.
13. Поводить мышкой над участком открытого окна инвентаря, ни на что не нажимая.
13. "Alt"+"Tab" или другим способом сделать окно Chat Engine активным.
14. Вот и попались адресочки! После выделенного адреса их целая куча.
15. Жаль, что они никому не нужны.
16. Повторить пункты 11 - 15 до тех пор, пока новые адреса не перестанут появляться.
17. Сделать окно клиента активным и в инвентаре перенести любой предмет из одной ячейки в другую. Сколько раз будет перенесен предмет с ячейки в ячейку, такой и счетчик будет на нужном адресе.
Скрин
18. Вернуться к Cheat Engine и нажать кнопку стоп.
Скрин
19. По очереди выделять адреса после выделенного в 11 пункте и, нажав на него ПКМ, выбирать включение отладчика. (По подсказке VeTaL_UA можно просто выделить нужную строку с адресом и нажать справа кнопку Отладчик. Но это для очень ленивых. Никогда так не поступайте, если еще дочитали до этого пункта)
Скрин
20. В открывшемся отладчике нужно искать примерно такое сочетание текста. То есть сначала в регистр загружается значение базового адреса, потом в регистр ecx загружается значение BA+20, в стек сохраняется сначала длинна пакета, потом адрес пакета, потом управление передается функции.
Скрин
21. Вместо адреса функции получается мистическое число elementclient.exe+23DB70
22. Так как число мистическое, нужно и поступать с ним мистически. Нужно громко вслух произнести свою фамилию и быстро сложить на пальцах два шестнадцатиричных числа - 0x400000 и получившееся 0x23DB70. Если с первого раза не выйдет, нужно как можно громче произнести любой мат на свой выбор. (0x400000 - это разница между положением почти любого байта в файле elementclient и в процессе от этого же файла)
23. При поиске нужно знать одну истину - если при обновлении клиента BaseAdress стал больше, то и адрес искомой функции тоже будет больше. (Пока китайские братья не надумают капитально изменить исходник). Поэтому если получаемый адрес функции, допустим, меньше, то либо пальцев у вас 10 (Для быстрого счета по шестнадцатиричной системе рекомендуется купировать два пальца), либо найденный адрес только притворяется валидным, и прийдется просматривать найденное дальше, или даже начинать заново.

Всё

Последний раз редактировалось sumikot; 10.02.2014 в 11:50.
  Ответить с цитированием
6 пользователя(ей) сказали cпасибо:
bespaniki (17.04.2014), growl13 (20.10.2017), Lethal (14.11.2012), nemca (09.10.2012), pwgamer (04.07.2012), Sirioga (27.06.2014)
Старый 03.07.2012, 21:33   #2
 Разведчик
Аватар для VeTaL_UA(1)
 
VeTaL_UA(1) скоро будет известенVeTaL_UA(1) скоро будет известенVeTaL_UA(1) скоро будет известен
Регистрация: 04.12.2011
Сообщений: 20
Популярность: 295
Сказал(а) спасибо: 0
Поблагодарили 1 раз в 1 сообщении
 
По умолчанию Re: Поиск PackCall за 23 действия

[Ссылки могут видеть только зарегистрированные пользователи. ]

Мы не ищем лёгких путей?
________________
VeTaL_UA пишет отсюда, когда сидит с мобильного телефона. Привязка по ІР
  Ответить с цитированием
Старый 03.07.2012, 21:52   #3
 Старший сержант
Аватар для sumikot
 
sumikot излучает ауруsumikot излучает ауруsumikot излучает ауруsumikot излучает ауруsumikot излучает ауруsumikot излучает ауру
Регистрация: 21.09.2009
Сообщений: 189
Популярность: 578
Сказал(а) спасибо: 27
Поблагодарили 144 раз(а) в 36 сообщениях
 
По умолчанию Re: Поиск PackCall за 23 действия

Зачем? Даже расписал все так, чтобы никто не понял. На самом деле просто привычка. Даже файл, лежащий с корзиной рядом, удалю не через перетаскивание, а через ЛКМ-"Del" или ПКМ-Удалить. Это уже не исправить...

ЗЫ кстати, именно для таких как я в Cheat Engine кроме кнопок есть еще действия через ПКМ

Последний раз редактировалось sumikot; 05.07.2012 в 12:57.
  Ответить с цитированием
Старый 03.07.2012, 23:15   #4
Заблокирован
 Пехотинец
Аватар для Spyware
 
Spyware скоро будет известенSpyware скоро будет известенSpyware скоро будет известенSpyware скоро будет известенSpyware скоро будет известен
Регистрация: 06.03.2012
Сообщений: 80
Популярность: 413
Сказал(а) спасибо: 15
Поблагодарили 73 раз(а) в 15 сообщениях
Отправить сообщение для Spyware с помощью ICQ
 
По умолчанию Re: Поиск PackCall за 23 действия

Мне кажется или способ,указанный в теме ниже легче?
  Ответить с цитированием
Старый 03.07.2012, 23:29   #5
 Разведчик
Аватар для chetoss
 
chetoss на правильном путиchetoss на правильном пути
Регистрация: 30.10.2009
Сообщений: 7
Популярность: 107
Сказал(а) спасибо: 0
Поблагодарили 1 раз в 1 сообщении
 
По умолчанию Re: Поиск PackCall за 23 действия

Мне кажется или некоторым лень ждать "парсинга"(дизассемблирования) в IDA?

Последний раз редактировалось chetoss; 04.07.2012 в 12:01.
  Ответить с цитированием
Старый 03.07.2012, 23:37   #6
 Старший сержант
Аватар для sumikot
 
sumikot излучает ауруsumikot излучает ауруsumikot излучает ауруsumikot излучает ауруsumikot излучает ауруsumikot излучает ауру
Регистрация: 21.09.2009
Сообщений: 189
Популярность: 578
Сказал(а) спасибо: 27
Поблагодарили 144 раз(а) в 36 сообщениях
 
По умолчанию Re: Поиск PackCall за 23 действия

Цитата:
Сообщение от SpywareПосмотреть сообщение
Мне кажется или способ,указанный в теме ниже легче?

Количество функций с поисковым словом может измениться, они могут поменяться местами, поисковое слово вообще может измениться... Метод временный.

Цитата:
Сообщение от chetossПосмотреть сообщение
Мне кажется или некоторым лень ждать парсинга в IDA?

IDA не парсит, только декомпилирует. Парсит программа, специально для этого написанная.

Тему прочитало 32 человека, одно замечание о неприемлимости действия, два негативных, 0 положительных.
Тема не нужна?
  Ответить с цитированием
Старый 03.07.2012, 23:44   #7
 Разведчик
Аватар для chetoss
 
chetoss на правильном путиchetoss на правильном пути
Регистрация: 30.10.2009
Сообщений: 7
Популярность: 107
Сказал(а) спасибо: 0
Поблагодарили 1 раз в 1 сообщении
 
По умолчанию Re: Поиск PackCall за 23 действия

Цитата:
Сообщение от sumikotПосмотреть сообщение
Количество функций с поисковым словом может измениться, они могут поменяться местами, поисковое слово вообще может измениться... Метод временный.


IDA не парсит, только декомпилирует. Парсит программа, специально для этого написанная.

Тему прочитало 32 человека, одно замечание о неприемлимости действия, два негативных, 0 положительных.
Тема не нужна?

Тема пригодится, как относительно статический метод, но во вторая тема на данный момент более актуальна.
  Ответить с цитированием
Старый 03.07.2012, 23:58   #8
-= Мастер Света =-
 Рыцарь-лейтенант
Аватар для Smertig
 
Smertig сломал счётчик популярности :(Smertig сломал счётчик популярности :(Smertig сломал счётчик популярности :(Smertig сломал счётчик популярности :(Smertig сломал счётчик популярности :(Smertig сломал счётчик популярности :(Smertig сломал счётчик популярности :(Smertig сломал счётчик популярности :(Smertig сломал счётчик популярности :(Smertig сломал счётчик популярности :(Smertig сломал счётчик популярности :(
Регистрация: 31.01.2011
Сообщений: 413
Популярность: 14489
Золото Zhyk.Ru: 300
Сказал(а) спасибо: 77
Поблагодарили 361 раз(а) в 145 сообщениях
Отправить сообщение для Smertig с помощью ICQ Отправить сообщение для Smertig с помощью Skype™
 
По умолчанию Re: Поиск PackCall за 23 действия

Разные способы - разные темы. Чем больше разнообразной теории, тем лучше.
________________
Больше не занимаюсь читами, ушёл в серверную часть. Новый ник - int 3.
P.S. Но я всё такой же добрый модератор раздела PW.
  Ответить с цитированием
Старый 04.07.2012, 02:22   #9
Заблокирован
 Старший сержант
Аватар для =Grande=
 
=Grande= в состоянии испепелить взглядом=Grande= в состоянии испепелить взглядом=Grande= в состоянии испепелить взглядом=Grande= в состоянии испепелить взглядом=Grande= в состоянии испепелить взглядом=Grande= в состоянии испепелить взглядом=Grande= в состоянии испепелить взглядом=Grande= в состоянии испепелить взглядом=Grande= в состоянии испепелить взглядом=Grande= в состоянии испепелить взглядом=Grande= в состоянии испепелить взглядом
Регистрация: 05.07.2011
Сообщений: 245
Популярность: 5064
Сказал(а) спасибо: 9
Поблагодарили 143 раз(а) в 85 сообщениях
Отправить сообщение для =Grande= с помощью ICQ Отправить сообщение для =Grande= с помощью Skype™
 
По умолчанию Re: Поиск PackCall за 23 действия

Где можно программу скачать? Дайте ссылку..желательно на жхост
  Ответить с цитированием
Старый 04.07.2012, 03:51   #10
-= Илитный Мастер =-
 Главнокомандующий
Аватар для AEBus
 
AEBus сломал счётчик популярности :(AEBus сломал счётчик популярности :(AEBus сломал счётчик популярности :(AEBus сломал счётчик популярности :(AEBus сломал счётчик популярности :(AEBus сломал счётчик популярности :(AEBus сломал счётчик популярности :(AEBus сломал счётчик популярности :(AEBus сломал счётчик популярности :(AEBus сломал счётчик популярности :(AEBus сломал счётчик популярности :(
Регистрация: 28.03.2009
Сообщений: 1,669
Популярность: 66536
Сказал(а) спасибо: 246
Поблагодарили 1,560 раз(а) в 691 сообщениях
 
По умолчанию Re: Поиск PackCall за 23 действия

Цитата:
Сообщение от OWNIG_Посмотреть сообщение
Где можно программу скачать?

[Ссылки могут видеть только зарегистрированные пользователи. ]

Цитата:
Сообщение от sumikotПосмотреть сообщение
Даже файл, лежащий с корзиной рядом, удалю не через перетаскивание, а через ЛКМ-"Del" или ПКМ-Удалить.

а я использую shift + del, корзина у меня всегда пустая
  Ответить с цитированием
Старый 04.07.2012, 11:02   #11
 Старший сержант
Аватар для sumikot
 
sumikot излучает ауруsumikot излучает ауруsumikot излучает ауруsumikot излучает ауруsumikot излучает ауруsumikot излучает ауру
Регистрация: 21.09.2009
Сообщений: 189
Популярность: 578
Сказал(а) спасибо: 27
Поблагодарили 144 раз(а) в 36 сообщениях
 
По умолчанию Re: Поиск PackCall за 23 действия

Цитата:
Сообщение от OWNIG_Посмотреть сообщение
Где можно программу скачать?

Точно. По ссылке Nitrogen, первая строка - сайт производителя данной продукции.

Цитата:
Сообщение от NitrogenПосмотреть сообщение
а я использую shift + del, корзина у меня всегда пустая

У меня на домашнем ее вообще нет... Года два как удалил с помощью реестра. А вот на работе не получается - шеф выпадает в ступор. Потому как корзина должна быть. "Штоб была возможность достать неправильно удаленный файл"
  Ответить с цитированием
Старый 04.07.2012, 23:53   #12
 Разведчик
Аватар для GenOstr
 
GenOstr никому не известный тип
Регистрация: 12.12.2010
Сообщений: 4
Популярность: 14
Сказал(а) спасибо: 0
Поблагодарили 2 раз(а) в 2 сообщениях
 
По умолчанию Re: Поиск PackCall за 23 действия

Цитата:
Сообщение от sumikotПосмотреть сообщение
IDA не парсит, только декомпилирует. Парсит программа, специально для этого написанная.

ммм....кто так решил??? ИДА более чем заменяет Олю+Cheat Engine+артмани вместе. Ах да, там на англицком.
тут дело предпочтений. самый легкий способ поиска (сам таким пользуюсь) инжектов и адресов через системные сообщения в чате. но для этого нужно ТОЧНО знать что ищете и механику клиента.
  Ответить с цитированием
Старый 05.07.2012, 00:58   #13
 Разведчик
Аватар для mr-anri
 
mr-anri никому не известный тип
Регистрация: 01.10.2011
Сообщений: 1
Популярность: 10
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
 
По умолчанию Re: Поиск PackCall за 23 действия

на пункте 8 вылетает клиент, через IDA замучался искать этот адресс, потому что гайд очень неподробный да и не ищет он эту комбинацию слов, скажите пожалуйста как исправить проблему с вылетом? если никак то какие ещё есть спопособы узнать sendpacket
  Ответить с цитированием
Старый 05.07.2012, 12:45   #14
 Старший сержант
Аватар для sumikot
 
sumikot излучает ауруsumikot излучает ауруsumikot излучает ауруsumikot излучает ауруsumikot излучает ауруsumikot излучает ауру
Регистрация: 21.09.2009
Сообщений: 189
Популярность: 578
Сказал(а) спасибо: 27
Поблагодарили 144 раз(а) в 36 сообщениях
 
По умолчанию Re: Поиск PackCall за 23 действия

Цитата:
Сообщение от GenOstrПосмотреть сообщение
ммм....кто так решил??? ИДА более чем заменяет Олю+Cheat Engine+артмани вместе.

Нууу... Микроскопом тоже можно орехи колоть.... Только этот способ использования разработчиками микроскопа в мануале почему то не описан. А чтобы Вам не быть голословным - способ парсинга подгружаемого процесса с помощью регулярного выражения без использования плагинов - в студию - в виде отдельной темы. Так как ЭТА тема - совсем не про Interactive Disassembler.

Цитата:
Сообщение от GenOstrПосмотреть сообщение
самый легкий способ поиска (сам таким пользуюсь) инжектов и адресов через системные сообщения в чате

Я хочу это видеть!!! Я может, и неправильно понял именно это предложение, но просмотр гайда на тему поиска адресов всех инжектов в PW через системные сообщения в чате был бы для меня равноценен, допустим... прослушиванием эксклюзивного концерта Аллы Борисовны для одного зрителя, причем не в записи.

Цитата:
Сообщение от mr-anriПосмотреть сообщение
на пункте 8 вылетает клиент

Cheat Engine скачан с официального сайта? При установке/использовании антивирус выключен?
Система ХР32? (на других может быть небольшой, хоть и устраняемый гемор)

Цитата:
Сообщение от mr-anriПосмотреть сообщение
через IDA замучался искать этот адресс

Тут я ничем не помогу, так как именно этот способ не проверял. Но там и описывать нечего, всего 2 действия. А про то, что не ищет - возможно, что в твоем клиенте код не совсем такой... Или версия IDA не та. Второе вероятнее, так как с выходом новых версий немного изменялся способ обработки кода, добавлялись и изменялись библиотеки. Поэтому вполне вероятно, что в дизассемблированном тексте этот код может выглядеть немного по другому. По смыслу он будет одинаков, а вот по написанию, хотя бы, например, по количеству пробелов - нет.

Как выглядит начало функции на IDA 4 версии (название функции было изменено вручную):



Как выглядит в версии, близкой к гайду:




Понятно, что в гайде версия намного новее и четверка просто по другому отображает переданные в функцию аргументы (в коментарии их вообще нет, а поиск производится именно по коментарию). О поиске не может быть и речи...

Последний раз редактировалось sumikot; 05.07.2012 в 16:17.
  Ответить с цитированием
Старый 19.07.2012, 03:05   #15
 Разведчик
Аватар для Tama11
 
Tama11 никому не известный тип
Регистрация: 19.03.2011
Сообщений: 15
Популярность: 16
Сказал(а) спасибо: 10
Поблагодарили 3 раз(а) в 2 сообщениях
Отправить сообщение для Tama11 с помощью Skype™
 
По умолчанию Re: Поиск PackCall за 23 действия

Цитата:
Сообщение от sumikotПосмотреть сообщение
Cheat Engine скачан с официального сайта? При установке/использовании антивирус выключен?
Система ХР32? (на других может быть небольшой, хоть и устраняемый гемор)

Да, CE скачан с оф. сайта, анти-вирь выключен и там, и там
XP SP3...
Клиент не вылетает, но начинает жутко виснуть, и через 20-30сек просто перестаёт показывать признаки жизни... Что делать? =-=
Сделал, как написано, нажал на стоп - вылетел клиент(?!) Что за фигня!
После мучений в 2 часа - осилил я всё это. Спасибо за гайд.)

Последний раз редактировалось Tama11; 19.07.2012 в 03:44.
  Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
[Обсуждение] Действия некоторых на ЧР Number/1/ Общение и обсуждение 2 19.03.2012 21:38
[Помогите!] [php Кнопка] Действия под паролем... ProTocoL Вопросы и ответы, обсуждения 1 05.01.2012 14:47
Аккаунт взломан,действия? tarantyll(2.0) Общение и обсуждение 3 08.11.2011 14:53
Продвижения с 0... Действия DaBerman Общение и обсуждение, архив Lineage 2 0 16.09.2011 21:08
[Баг] Ограничение действия *New* Max Payne 2010 Общение и обсуждение Perfect World 23 01.09.2011 23:34

www.webmoney.ru
Заявление об ответственности / Список мошенников

Часовой пояс GMT +4, время: 04:48.

Пишите нам: forum@zhyk.ru
Copyright © 2019 vBulletin Solutions, Inc.
Translate: zCarot. Webdesign by DevArt (Fox)
G-gaMe! Team production | Since 2008
Hosted by GShost.net