Как найти walk-адреса для инжекта движения PW?

Довольно часто встречающийся вопрос: как найти walk-адреса для инжекта движения? Всё очень просто. Для поиска нам понадобится отладчик OllyDbg (скачиваем по адресу http://www.ollydbg.de/).
Запускаем ПВ, заходим на персонажа.
Запускаем наш ранее скачанный ollydbg.

Окно Ollydbg после запуска программы
Olly Open
Выбираем пункт меню File - Attach
Olly Attach
В появившемся списке процессов выбираем наш запущенный процесс ПВ — elementclient.exe
Находим и дважды щелкаем по elementclient.exe
Olly elementclient
После выбора процесса отладчик цепляется к нему и ставит на паузу.
Вы можете убедиться в этом по характерной надписи
Olly paused
Наш клиент на паузе и ни на что больше не реагирует. Снимаем с паузы, нажимая клавишу F9.
Надпись Paused (на паузе) сменилась на Running (запущен)
Olly running
Обратите внимание на надпись module ntdll
Olly ntdll module
Она означает, что мы сейчас находимся в ненужном нам модуле ntdll. Для того, чтобы перескочить на необходимый, нажимаем сочетание клавиш Ctrl+G. Открывает окно для ввода адреса для перехода. Введем от балды любой адрес из нужного модуля. Например, 00444444. Переходим. Нажимаем еще раз Ctrl+G и повторяем процедуру.
Убедимся, что теперь мы там, где надо
Olly elementc module
Итак, теперь мы в нужном модуле, а значит отправляемся искать код в процессе, который нам покажет адреса walk-адресов.
Нажимаем правой кнопкой в главном окне программы, переходим в меню Search for — Sequence of commands (или нажимаем Ctrl + S). В появившемся окне вводим две ассемблерные команды:
PUSH 3
MOV ECX,EDI
Окно Sequence of commands с нашими командами
Olly sequence
Нажимаем Find и получаем:
Olly first found
Олли нашла нам искомую комбинацию команд, но, к сожалению, это не то, что нам нужно. Нажимаем Ctrl+L (продолжить поиск).
Нам нужен участок кода, похожий на этот
Olly scnd found
Второй результат поиска (после как мы нажали Ctrl+L) сразу же дает нам его!
«И где же наши walk1, walk2 и wakl3 адреса в этом непонятном участке кода?» — спросите вы.
Да вот же они (подчеркнуты красным).
walk1, walk2 и walk3
Olly found walk addresses

4A1AA0, 4A7DE0, 4A2090 — актуальные walk-адреса для версии руоффа от 23.06.2015. Берите и применяйте в своих инжектах движения.
Поздравляю. Как найти walk-адреса для инжекта движения PW вы теперь знаете и можете с легкостью находить их самостоятельно.

Вы можете прокомментировать, либо оставить trackback со своего сайта.

3 комментария to “Как найти walk-адреса для инжекта движения PW?”

  1. Иван:

    Как с вами можно связаться*?

  2. Иван:

    Отписал на почту, но наверно вы её проверяете нечасто. так что напишу тут подскажите как найти смешения и адреса персонажей вокруг

Leave a Reply

Powered by WordPress