Go To Post
Moin,
aktuell versuche ich mich an einem kleinen Hack. Dieser funktioniert soweit auch recht gut nur bin ich beim Reversen der Anticheat und Netzwerkdll auf ein paar Probleme gestoßen:
1)
Es findet sich recht häufig im (disassemblierten und dekompilierten) Code ein
CPP Code:
vx = &vy ^ __security_cookie;
Was ist dieses security cookie? Insbesondere bin ich verwirrt, da dies am Anfang einer Funktion ausgeführt wird.
2)
Es finden sich recht häufig Verweise auf eine Funktion, die vermutlich zu std::string gehört. In IDA werden sie folgendermaßen angezeigt:
TEXT Code:
std__basic_string_char_std__char_traits_char__std__allocator_char_____basic_string_char_std__char_traits_char__std__allocator_char__
Wie kann ich von diesen doch recht kryptischen Namen wieder auf die Memberfunktion schließen?
3)
Es finden sich auch häufig Aufrufe aus Funktionen, die die Zieladresse nicht beinhalten. Wie kann ich nun auf die Funktionsadresse kommen, welche aufgerufen wird?
Beispiel:
TEXT Code:
int __thiscall CNetIO__GetRemoteServerIP(void *this)
{
return (*(int (__stdcall **)(_DWORD))(**((_DWORD **)this + 1) + 228))(0);
}
Grüße
Reboot
English