朋友发来的新品软件想要他的外部漏打写法,让帮忙分析一下! �r�<�XlI�i
【PUBG-DMA-STAY】 -_xC,d�w�K
分析结果:
;d{�lv�Kk� 直接上图,废话不多说分析时间2024年3月13日21:41:58 h 1�`yW#%�
<Q%��:c�4N
1u��\kxlZ
主要看其内存漏打分析 U�.0b�br��
�e�K_Yt~dj
}RPeA�cbU_
@Z�FU< e$!
直接在游戏端看他是自瞄的时候进行改游戏内存挂钩松开右键就恢复了所以在自瞄的时候给他VMMDLL写内存的下个断点确保他不会覆盖,
在这里下断已经拿到写入地址 0x4005D9
NX5NE2@^qH 跳过去一看发现是个空白DLL 《XINPUT1_3.dll》的内存区域
n?z^"vv$�i a"�|\�n_�� 
R�`F8J}X_� =��S|^p��N
找到他的代码头部下个断点 $KG�p���cl
w��G2-,\�: V9r58h�bVT 发现调用来自TslGame.exe也就是游戏内存 我们跟过去看看 H,5��##@X
�/@�~&zx&_ 
K-f��\�n�r 
@[] A&�)B� VN[i
;4o:| 好家伙!胆子真大啊 直接修改游戏虚表的内存 难道不知道PXXX的XE会定期扫内存 检测到游戏内存段修改直接
封号吗?
�\y*,N^w�u 'RjMw�J�y{ 
�4}t&�AW�4 @Tl!�A1y�? 挂钩和写入地址我们都知道了接下来我们去分析一下他写的shellcode 在最后会附上他的shellcode二进制代码自己阅读理解下应该都能使用 GP��,x�GZZ
y��+�Z�CuX
7IV:�X�
_y
该注释的我都注释了 jmp下面的乱码是spoof写入的地址参数什么的 d;�c<"�� +
k�3Fp��D=N
xgQ]#�{�tG
现在PXXX有人还在用Jmp [rbx]吗这好像是已经添加到堆栈回溯的检测里面去了 KJ
LK]lf}d
{V�j�25Gt�
.��wv��!;�
分析到这就完了 接下来附shellcode
Shellcode段
JHC�V7$�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zc�TY"w�\b
!s�:v UY58
`9�yR,Xk=l
eODprFkt}� 自己用CE找个空白地址写入进去就知道怎么用了 QW_Q�izR>|
}bxx]�rDl
�oL�6�9�w1
B,�dHhwO*l
[size=; font-size: xxx-large,xxx-large]分析纯属娱乐,有什么好技术大家一起共享! -$J%�.fdPs
NA`E�G�,�2
6�8v59)0�U
