想學習怎麼找COutPacket::COutPacket的位址

各位大大好，我想要學習怎麼尋找v113的COutPacket::COutPacket的位置，方便製作Packet Editor
但是我用CE搜尋一些找得到的AoB，或者我從v95脫殼主程式ida看到的AoB去找也都找不到

目前想到的一種方法是從WS2_32.send回推，但實際上我從CE Memory Viewer看到那塊asm以後還是沒什麼頭緒怎麼找到COutPacket::COutPacket

其實就算我有v113的脫殼主程式，如果沒有前人寫的註解，我還是不知道要怎麼找到COutPacket::COutPacket
想請各位大大指教! 謝謝!

共收到 0 A幣

我要打賞

打賞榜

查看更多>>

暫無

捷足先登

暫無

捷足先登

暫無

捷足先登

暫無

----

暫無

----

暫無

----

暫無

----

petje 發表於 2024-8-1 22:18
喔喔喔 因為我想說Encode函數和封包要傳遞的內容無關 ida看函數裡面是很簡單的邏輯

我再確認一下，確定 ...

應該是對的 我也不確定
你可以鉤鉤看

petje 發表於 2024-8-1 10:01
謝謝! 原來是這樣找的

我剛好很幸運，ida的Lumina直接幫我把COutPacket系列都認出來了，我xref一下就 ...

有圖片嗎

我是靠ida慢慢比對的
以現有的線索慢慢去推出來的
先從v095找COutPacket::COutPacket按X找線索
然後去你的113的ida找你已經命名好的有沒有跟他一樣的這樣比對

g9502995 發表於 2024-7-31 22:59
我是靠ida慢慢比對的
以現有的線索慢慢去推出來的
先從v095找COutPacket::COutPacket按X找線索

謝謝! 原來是這樣找的

我剛好很幸運，ida的Lumina直接幫我把COutPacket系列都認出來了，我xref一下就找到COutPacket_0是被呼叫幾千次的那個

我發現程式會呼叫COutPacket_0(&v21, 121)之類的，&v21應該就是我要找的，未加密的封包位置？因為呼叫完COutPacket_0沒多久就CClientSocket::SendPacket了

但是我找了很久，也找過不同的xref，都找不到&v21從頭到尾哪裡被修改過內容了，&v21好像就是一個local variable，第一次被用到就在COutPacket_0

想請問你有遇到類似的情況嗎？ 謝謝！
(我有嘗試把&v21 array的值hook, print出來看，完全沒有找到我預期的封包結構，我前後比對很久，&v21應該是用ecx傳給COutPacket的？)

g9502995 發表於 2024-8-1 14:10
有圖片嗎

大概像這樣

1. void __thiscall sub_46DE10(_DWORD *this, void *a2)
   
2. {
   
3.   int *v3; // ecx
   
4.   int v4; // edi
   
5.   signed int v5; // eax
   
6.   signed int v6; // eax
   
7.   int *v7; // eax
   
8.   void *v8; // ecx
   
9.   int v9; // [esp-18h] [ebp-54h]
   
10.   int *v10; // [esp-14h] [ebp-50h] BYREF
    
11.   void *v11; // [esp-10h] [ebp-4Ch]
    
12.   void *v12; // [esp-Ch] [ebp-48h] BYREF
    
13.   int v13; // [esp-8h] [ebp-44h]
    
14.   int *v14; // [esp-4h] [ebp-40h]
    
15.   unsigned int v15; // [esp+Ch] [ebp-30h] BYREF
    
16.   int v16; // [esp+10h] [ebp-2Ch] BYREF
    
17.   char v17[4]; // [esp+18h] [ebp-24h] BYREF
    
18.   int v18; // [esp+1Ch] [ebp-20h]
    
19.   void **v19; // [esp+20h] [ebp-1Ch]
    
20.   char v20[4]; // [esp+24h] [ebp-18h] BYREF
    
21.   int v21; // [esp+28h] [ebp-14h] BYREF
    
22.   int v22; // [esp+2Ch] [ebp-10h] BYREF
    
23.   int v23; // [esp+38h] [ebp-4h]
    
24. 
    
25.   if ( !this[6] )
    
26.   {
    
27.     sub_A41F94(v17, a2);
    
28.     v4 = v18;
    
29.     v23 = 0;
    
30.     if ( !v18 )
    
31.     {
    
32.       v23 = -1;
    
33.       sub_474C50(v17);
    
34.       return;
    
35.     }
    
36.     v22 = 0;
    
37.     if ( *(_DWORD *)(v18 + 32) )
    
38.     {
    
39.       v5 = ZtlSecureFuse((int)(this + 7), this[9]);
    
40.       if ( v5 >= *(_DWORD *)(v18 + 32) )
    
41.         v22 |= 1u;
    
42.       v6 = ZtlSecureFuse((int)(this + 10), this[12]);
    
43.       v4 = v18;
    
44.       v3 = v14;
    
45.       if ( v6 >= *(_DWORD *)(v18 + 32) )
    
46.         v22 |= 2u;
    
47.       if ( !v22 )
    
48.       {
    
49.         v14 = 0;
    
50.         v13 = 0;
    
51.         v12 = 0;
    
52.         v11 = 0;
    
53.         v10 = v3;
    
54.         v9 = 392;
    
55.         goto LABEL_8;
    
56.       }
    
57.     }
    
58.     else
    
59.     {
    
60.       v22 = 2;
    
61.     }
    
62.     if ( (int)this[288] < 15 )
    
63.     {
    
64.       v21 = 0;
    
65.       LOBYTE(v23) = 1;
    
66.       StringPool::GetInstance();
    
67.       v7 = (int *)sub_40652B(v20, 366);
    
68.       v14 = *(int **)(v4 + 32);
    
69.       v13 = *v7;
    
70.       LOBYTE(v23) = 2;
    
71.       sub_4469F4(&v21, (const char *)v13, v14);
    
72.       LOBYTE(v23) = 1;
    
73.       sub_4063B5(v20);
    
74.       v14 = &v22;
    
75.       v13 = 3;
    
76.       v12 = v8;
    
77.       v19 = &v12;
    
78.       sub_429FA9(&v21);
    
79.       if ( CConfirmPurchaseDlg::Confirm_0((char)v12, v13, v14) == 1 )
    
80.       {
    
81.         COutPacket::COutPacket_0(&v15, 230);
    
82.         LOBYTE(v23) = 3;
    
83.         sub_40661F(&v15, 8);
    
84.         sub_40661F(&v15, v22 == 2);
    
85.         sub_40667C(a2);
    
86.         self_CClientSocket__SendPacket((_DWORD *)dword_BED27C, (int)&v15);
    
87.         this[6] = 1;
    
88.         LOBYTE(v23) = 1;
    
89.         sub_42AA52(&v16);
    
90.       }
    
91.       LOBYTE(v23) = 0;
    
92.       sub_4063B5(&v21);
    
93.       goto LABEL_18;
    
94.     }
    
95.     v14 = 0;
    
96.     v13 = 0;
    
97.     v12 = 0;
    
98.     v11 = 0;
    
99.     v10 = v3;
    
100.     v9 = 370;
     
101. LABEL_8:
     
102.     StringPool::GetInstance();
     
103.     sub_40652B(&v10, v9);
     
104.     sub_9B2F6F((char)v10, v11, v12, v13, v14);
     
105. LABEL_18:
     
106.     v23 = -1;
     
107.     if ( v18 )
     
108.       sub_474F26(0);
     
109.   }
     
110. }

複製代碼

&v15是第一次出現就出現在COutPacket_0

sub_40661F 裡面是很簡單的 像是在操作&v15前3個byte的邏輯，或者是EnlargeBuffer，沒看到相關的設置封包的操作

不太懂你想幹嘛

g9502995 發表於 2024-8-1 21:30
不太懂你想幹嘛

我想做一個Packet Editor
我想說未解密的封包會出現在COutPacket_0的第一個參數裡

結果發現並沒看到

還是你有DC討論一下

g9502995 發表於 2024-8-1 21:45

這樣看起來COutPacket的第一個參數的確不包含封包內容？ v16第一次被用到就是在COutPacket

看起來我可能應該想辦法找到v22之類的嗎？

petje 發表於 2024-8-1 22:11
這樣看起來COutPacket的第一個參數的確不包含封包內容？ v16第一次被用到就是在COutPacket

看起來我可能 ...

有包含阿
v16經過多層處理最終發出去啊

g9502995 發表於 2024-8-1 22:14
有包含阿
v16經過多層處理最終發出去啊

喔喔喔 因為我想說Encode函數和封包要傳遞的內容無關 ida看函數裡面是很簡單的邏輯

我再確認一下，確定一下未加密的完整封包是不是在SendPacket的最後一個參數裡

petje 發表於 2024-8-1 16:00
大概像這樣

&v15表示很傷心，希望你可以多關心&v15