Радар своими руками

[xkor]

Yegor, именно, а кто говорил что будет просто)

[GoldFinch]

Yegor, напиши в длл код который позволит выгрузить себя и загрузить новую версию длл, если надо

[Эдвадко]

Цитата:

Сообщение от GoldFinch

Yegor, напиши в длл код который позволит выгрузить себя и загрузить новую версию длл, если надо

Это как-то мудрено очень. К тожу-же, чуть напортачишь в
подгружаемой dll и клиент вылетает с ошибкой.
Я инжектируемую dll пишу, чтоб была возможно более простая.
Только перехват команд от клиента и от сервера и отсылка в основной
модуль программы. Связь между dll и модулем делал раньше через
mapped file а сейчас по IP(UDP).
На будущее, это позволит собирать инфу с нескольких клиентов запущеных на разных компах в один коммандный центр.

[Yegor]

GoldFinch, это то я напишу, но вот Delphi для отладки dll хочет сама запускать процесс в который её будет загружать.


Эдвадко, в l2ext от Alexteamа похоже сделано так же, начну сначала с общения через message а потом и tcp\ip задействую.

[Эдвадко]

[quote=Yegor;88284]GoldFinch, это то я напишу, но вот Delphi для отладки dll хочет сама запускать процесс в который её будет загружать.

Я например отладчик не пользую - ну так получилось.
В качестве отладчика использую ту-же внедряемую dll

Удалось перехватить какую функцию - хук начинает логировать
адреса вызова этой функции и параметры вызова.

Потом ползаю по дизассемблированой engine.dll по соотв. адресам и смотрю че и как.

static DWORD HookProcAdr;

void __declspec(naked) __stdcall HookProcE9()
{
static DWORD SavedRetAddr,SavedArg0,SavedArg4,SavedArg8;
__asm push ebp
__asm mov ebp,esp
__asm pushad

__asm mov eax,[ebp+4] //RetAddr
__asm mov SavedRetAddr,eax
__asm mov eax,[ebp+8] //Arg0
__asm mov SavedArg0,eax
__asm mov eax,[ebp+12] //Arg4
__asm mov SavedArg4,eax
__asm mov eax,[ebp+16] //Arg8
__asm mov SavedArg8,eax

static char str[100];
_snprintf(str,100,"%u",*(PBYTE)SavedArg0);
MappedText(str,0xFFFFFF00);

fprintf(LogFile,"HookE9 %x %x %x %x %02x\n",SavedRetAddr,SavedArg0,SavedArg4,SavedArg8 ,*(PBYTE)SavedArg0);

__asm popad
__asm pop ebp
__asm push HookProcAdr
__asm retn
}

[Xen]

Ломать проще, чем самому это строить ) в очередной раз убеждаюсь

[Yegor]

GoldFinch, ты ранее писал переходник для вызова с++ функций с соглашением ThisCall из делфи. А можно сделать переодник дял того чтобы функция делфи вызывалась как ThisCall?

Добавлено через 2 часа 51 минуту
Вопрос снят, получилось

[n1ghtmare]

Откопал в недрах форума это:

struct NetworkPacket
{
unsigned char* id, _padding1, exid, _padding2;
unsigned short size, _padding3;
unsigned char* data;
};

Вопрос: актуально ли это дял руофа? Потомутчо size какимто странным образом стабильно больше 1024... Заметил что все значения кратны 8. Что делать? И что есть _padding1, _padding2, _padding3 ? Нечто неизвестное?

[Yegor]

n1ghtmare, Актуально, как раз курю эту же тему. Size определяется верно. Единственнонепонтно по поводу paddingx, значения в них меняются.
И еще не уверен по поводу exid. В нем в пакетах без второго id почему то идет значение 255.

[RocknRolla]

а автор темы не может просты нужные файлы собрать в патч и выложить где нибудь?