みなさんへの告知板


オンラインゲームからは離れました。これからはリアルょぅι゛ょで頑張ろうと思います


ミジンコゼミナール


ネットゲーム解析初心者向け講座、ミジンコゼミナール 開講!

多重起動、窓化の基礎をしらんやつは見ておけ。
読んでも理解できないやつは解析以前の問題だから文句いうな('A`)

ミジンコゼミナール:ネットゲーム解析講座一覧
1日目:入学/必要な教材 2日目:基本的なアセンブリ言語
3日目:Ollydbg の操作方法と演習 4日目:多重起動1(FindWindow)
5日目:多重起動2(CreateMutex) 6日目:多重起動3(EnumWindows、その他の方法)
7日目:ウィンドウについて
8日目:窓化(D8) 9日目:窓化(D9)
10日目:DLL について 11日目:何か作ってみよう
12日目:試験 13日目:プレゼント

2006年12月20日


ノーステイルメモ

やっとブログのメンテ作業が終わったらしい。

メンテ中ってブログの操作は出来ないくせにアクセスはできるんだね

スタイルシートが効いてないから端寄せ縦長一直線のひどい状態。

この影響もあってか昨日の総アクセス数は55でした。

平日平均の10分の1以下。

うは少NEEEえええ!!!11!と本気で思ったオレガイル orz

なにはともあれ、元に戻ってよかったよかった。



さて ノーステイル のメモ。


・ファイルの読み込み順序、の続き。

 Nostale.exe で起動。

 ↓

 C:\DOCUME~1\ユーザー名\LOCALS~1\Temp\Update.dat.svr の確認。

 ↓

 デバッガ検出

 ↓

 C:\DOCUME~1\ユーザー名\LOCALS~1\Temp\Update.dat.svr 作成。

 ↓

 デバッガ検出 ⇒ 以降こんな感じでレギュラー出演。

 ↓

 nostailX.dat 起動



 Config.dat
 まぁ、そんな感じ

 ↓

temp.tmp
 面白もんでも入ってうかと思ったら中身は吹き出しとかのカーソルジャマイカorz
 このあとデータとして取り込まれてファイルは削除される

 ↓

 WAV フォルダの snd.pck ファイルオープン。
 何たらかんたら 1、2、5、7・・・と飛び々に wav ファイルの読み込み。
最終的には 687 まで。
 きっと音楽マニアの人はいろいろ入れてパックしてるんだろうな。

最後のとこ ⇒ 01400C68 36 38 37 2E 77 61 76 00 687.wav.
 

 ↓

 NostaleData フォルダからNSmnData.NOSを読み出し。
 見てれば理由はわかるのだがその読み出し方は…。
 最終的にデータとして保管されるが読み返すのがダルイのでスルー。
 今度暇なときにでも。

 ↓

 以降 NS なんたらが十数回(ファイルの数いくつあったっけ?)ひたすらつづく。
 NSeffData.NOS が最後。

 ↓

 やっと XTrap API の呼び出し。

 スタック [0012E898]=4043BE58 (XTrapApi.4043BE58)
 ESI=4043BE58 (XTrapApi.4043BE58)

 ↓
 
 しばらくすると偽装が始まっていく。
 おまえはパッカーかと小一時間(ry

40409F9A 8B3D 84904240 MOV EDI,DWORD PTR DS:[40429084] ; kernel32.GetProcAddress
40409FA0 68 98CB4240 PUSH XTrapApi.4042CB98 ; ASCII "EnumProcesses"
40409FA5 56 PUSH ESI
40409FA6 FFD7 CALL EDI
40409FA8 68 84CB4240 PUSH XTrapApi.4042CB84 ; ASCII "EnumProcessModules"
40409FAD 56 PUSH ESI
40409FAE A3 9C454540 MOV DWORD PTR DS:[4045459C],EAX
40409FB3 FFD7 CALL EDI
40409FB5 68 6CCB4240 PUSH XTrapApi.4042CB6C ; ASCII "GetModuleFileNameExA"
40409FBA 56 PUSH ESI
40409FBB A3 98454540 MOV DWORD PTR DS:[40454598],EAX
40409FC0 FFD7 CALL EDI
40409FC2 68 54CB4240 PUSH XTrapApi.4042CB54 ; ASCII "GetModuleInformation"
40409FC7 56 PUSH ESI
40409FC8 A3 94454540 MOV DWORD PTR DS:[40454594],EAX
40409FCD FFD7 CALL EDI
40409FCF 68 40CB4240 PUSH XTrapApi.4042CB40 ; ASCII "GetModuleBaseNameA"
40409FD4 56 PUSH ESI
 ・
 ・


 ↓

 長い道を経てタスクバーの常連となる。
 XTrap コンニチワ

 7C80B680 FF55 08 CALL DWORD PTR SS:[EBP+8] ; XTrapApi.40405C20


 ↓

 追ってばかりなのもなんだったので、気分転換もかねてちょっと手を加える。
 Xtrap の認証ページへアクセスさせる。

 

 はい、どうみても Windows のパクリです('A`)

 処理を元に戻してつづきへ。


 ↓

 何度かのコール後にゲーム起動。



 感想:
 ざっとしか見てないが行動パターンが一緒っぽいので回避はいける。
 最近はフラグだのレジスタだのをいじって回避するのが流行ってる、
 みたいな事がどっかのサイトに書いてあった。
 てか、そのやりかたは知らないけどね。


 肝心のゲームのほうは、クエでニワトリペットにしなきゃいけないらしいんだが

 みんなのニワトリ争奪戦が激しかったのでログアウト ⇒ まだ Lv4 orz

 おかげでこんなことやってるわけだ。

 今夜はがんばって普通にプレイしてみよう…。


この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:


この記事へのトラックバック
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。