百度360必应搜狗淘宝本站头条
python判断字典是否为空crontab每周一执行aes和des区别安装指定版本npmadb pull
当前位置:网站首页 > IT知识 > 正文

通过调试游戏,了解64位汇编指令(二)

liuian 2025-03-12 16:46 31 浏览

之前我们在分析游戏的内息值时得到了一个CALL的返回值,那么接下来我们到CALL去寻找一下这个返回值的来源,并对遇到的汇编指令进行讲解(如图)(什么?你不知道是哪个CALL?请将上一篇文章看一遍~~~)

在CALL的位置下F2断点,我们发现这里不需要修改内息,游戏直接就会断下。于是我们在+178偏移和CALL的返回处分别下F2断点,看一下eax的值是否相同(如图)(如图)

通过两幅图对比,发现之前的r12和返回的eax是相同的。有人会说,这不是多此一举么,直接去CALL里分析好了。其实这么做是为了防止CALL内部出现遍历代码,而附近有有其他的对象被频繁访问,导致返回的eax并不是我们要分析的角色对象r12。

接下来我们在返回处重新下F2断点,并多次点击F9,我们发现大部分的情况下都是返回的角色对象,只有个别的情况会返回其他的数值,这也就说明了这里是有遍历的,但是角色本身会被大量访问(由于周围的对象过少,想断到非角色对象很难,所以就不截图了)

接下来我们在CALL下F2断点,并点击F7进入CALL的内部继续分析来源(如图)

这里是CALL内部的头部,我们继续点击F8,走到CALL的retn处(如图)

我们需要从这里继续向上分析rax的来源。点击减号来逐步后退,这样可以原路返回去分析来源,防止跳转过多影响我们的分析过程。

首先可以得到mov rax, qword ptr [rcx + 8]

这里传递的是qword,得到一个+8偏移,继续点减号来分析rcx的来源。可以得到mov rcx, qword ptr [rcx]。而在上面又可以得到lea rcx, [rsp]。lea相当于传递地址而不是读指针,所以这两条的结果就变成了mov rcx,[rsp]。[rsp]是要作为一个整体去分析的,而[rsp]是在lea rcx, [rsp]的下一条被rax进行赋值的(如图)

这里的分析可能有一些绕,有32位基础的能够看得懂,如果看不懂的在后面的堆栈文章中我们会重新的进行讲解。

继续向上分析rax可以得到mov rax, qword ptr [r10 + rdx*8],这是一个标准的64位数组的代码,r10是数组的起始地址,而每一个数组元素都占用8字节(如图)

这说明我们来到了一个遍历代码中,这里不只有数组,如果仔细观察还能够发现在下面还存在一个链表(如图)

由于遇到了遍历代码,所以我们就不继续讲解这个分析过程了,在后面的文章中会重点讲解64位下的数据结构。

那么我们的分析结束了么?当然没有。由于角色是在游戏中是一个特殊的存在,他被访问的也是最频繁的,所以大部分游戏的角色对象都会单独存放在一个基地址中。所以我们尝试用CE去对之前的r12进行扫描(如图)

得到了一个绿色的地址,为了验证它是否是一个可用的基地址,我们在OD中查找常量(如图)

还没有搜索完就得到了很多的结果,说明这是一个可用的基地址(如图)

这样我们就得到了角色内息的公式[[0x496c540]+0x178] xor 0xa59cf5b6

通过这两篇文章,我们发现在整数范围内的64位汇编指令和32位大致是相同的,分析方法也是相同的,只是寄存器看起来要麻烦一些,其实也只是不习惯罢了。我们会在后面的数据分析中对这些知识进行更加深入的学习和理解。

相关推荐

注册表清理软件(注册表清理软件残留软件)

你好!关于注册表清理工具的推荐,以下是几个值得推荐的工具:1.CCleaner:这是一款功能强大的免费清理工具,可以有效地清理注册表、垃圾文件等,使用简单方便。2.WiseRegistryCl...

显卡驱动升级有好处吗(显卡驱动升级有什么坏处)

显卡的新版本驱动能修改一些游戏,图形显示的BUG,所以新版本的显卡驱动能有效的利用显卡的资源,提高游戏性能。不仅可以修正旧版本中的BUG,而且可以进一步挖掘显卡硬件的功能,使得部分硬件功能得以充分发挥...

w7旗舰版系统安装无线网卡(win7系统安装无线网卡)

要在Windows7中安装无线网卡,请按照以下步骤进行操作:1.检查您的计算机是否已安装无线网卡。您可以通过右键单击“我的电脑”并选择“属性”来查看计算机的硬件设置。如果计算机没有内置无线网卡,则...

腾达路由器管理员密码是什么

1、旧版本的腾达路由器,默认的用户名和密码都是:admin。?旧版腾达路由器的初始密码是:admin2、目前腾达新推出的无线路由器,在出厂状态下,是没有初始管理员密码的。?新版腾达路由器没有初始密码新...

电脑开机只有一个鼠标箭头黑屏

解决方法如下:1、同时按“ctrl+shlft+exc”键,调出任务管理器。2、点击任务管理器左下角的“详细信息”。3、然后点击左上角“文件”里的“运行新任务”。4、弹出新窗口,输入“explorer...

把vx好友删了想找回聊天记录

没有啦,联系人列表里没有了,聊天记录就没有了,无法进行恢复,收不到好友消息微信删除好友时会同时删除与该联系人的聊天记录,不过对方还是有双方的微信聊天记录的,删除好友后将无法发送消息给对方,所以伙伴们在...

163邮箱密码正确就是登不上(163邮箱密码一直错误)

邮箱不能登录或登录异常的原因有很多种哦,如您浏览器“隐私”或“安全”级别设置过高,或用户名、密码输入不正确、较长时间未登录被冻结等都会导致不能登录或登录异常。请您先检查一下哦。解决无法登录的方法有:...

移动硬盘维修费用大概是多少钱

芯片不需要多少钱,但数据恢复就另当别论了。。。如果认识人就帮你换个芯片板,要不了多少钱,如果是硬盘盒的芯片板坏了你就乾脆换个盒子,80左右。如果是硬盘芯片坏了,那就不好办了,没人愿意给你换阿。。。但如...

windows资源管理器停止工作是什么原因

1.在进行重装系统之前,可以先检测一下windows资源管理器停止工作的原因是什么。如果是因为电脑的文件太多了,垃圾堆积导致的停止工作,我们就不需要进行重装系统。我们只需要下载一个360卫士或者其他可...

联想电脑24小时维修热线电话

   1.打开Think.lenovo.com.cn网页,点击登陆。  2.输入用户名密码,点击登陆。  3.点击右上角的:返回个性化首页。  4.点击“咨询与报修”中的“网上报修”。 ...

u盘上的系统怎么安装到电脑上

如果这个u盘是已经制作成为启动盘,可以进入pe系统的话就可以从u盘启动进入到pe系统中进行系统安装!如果你的意思是u盘里直接是操作系统的话,那就在bios设置里直接设定为u盘启动就好了!也可以在pe中...

20年前老笔记本改造升级(比较老的笔记本电脑改装)

答:10年前的笔记本电脑升级改造的方法。1.减少电脑后台程序。电脑和手机也是差不多的,有些软件在关闭之后并没有真正的退出,而是在后台偷偷的运行,这样也是占电脑内存,这样会导致电脑变得越来有。2....

住房公积金贷款计算器(住房公积金贷款计算器在线)

房贷、公积金贷款计算器基本养老保险金计算器基本医疗保险金计算器工伤保险计算器住房公积金缴存计算器养老保险退休金计算器五险一金及税后工资计算器失业保险计算器住房公积金贷款利息怎么计算,具体如下:公积金贷...

电脑开不了机风扇不转(电脑开机风扇转一会停了又继续转)

电脑开不了机,主机风扇转不动,出现这种情况有以下几种可能:1、电源线松了,或电源插板松动,又或者插板不通电。2、主机电源坏了。3、电脑的主板坏了。4、主机面的开关按钮坏了,或者按钮卡住了。解...

网页打不了怎么办(网页打不开是什么原因及解决方法)

浏览器打不开的修复方法:  步骤1、关于浏览器打不开的问题,首先点击电脑桌面左下角“开始”—>“运行”,输入regsvr32jscript.dll后选择“确定”,再次输入regsvr32vb...

一周热门
最近发表
标签列表