Поиск rva указателей в VMT

[don.kein]

И откуда значения взялось 0x507B70 ?

Хорошо, вот ставлю брекпоинт на

Names in WS2_32, item 97
Address=71A94C27
Section=.text
Type=Export (Known)
Name=send

при одевании оружия например, остановка идет на

00124C80 203D8C9C /CALL to send from Engine.203D8C97
00124C84 000007B8 |Socket = 0x7B8
00124C88 00124CA0 |Data = 00124CA0
00124C8C 0000000B |DataSize = B (11.)
00124C90 00000000 \Flags = 0

выглядит в общем окне это так

203D8C97 E8 8BBF6B51 CALL WS2_32.send

Куда дальше ?

[Sherman]

Цитата:

Сообщение от don.kein

И откуда значения взялось 0x507B70 ?

Это указатель на Виртуальную Таблицу Методов, что это такое - отдельная тема разговора. В Engine.dll она в начале dll-ки располагается помоему, в этом примере по адресу 0x507B70.

Цитата:

203D42AC FFD0 CALL EAX

вызов функции шифрации и отправки пакета. В EAX - адрес.

Если надо хукать вызов send, то трассишь до того места, где появится send и запоминаешь адрес. Если нужен хук всей функции в EAX кладешь адрес своей функции. В конце своей функции скорее всего прийдется аддами или сабами регистра ESP исправлять стек.

Если нужен именно неэкспортируемый метод SendPacket то пример Demion а показал как его найти.