FPS游戏自瞄透视之玩转堆栈

兔子小K

FPS游戏自瞄透视之玩转堆栈

腾讯课堂 feiyuol.ke.qq.com

腾讯安全实验室 gslab.qq.com

我们想做FPS游戏的自瞄透视功能，最基础的数据就是周围所有目标的坐标值

只有确定了所有目标的位置，我们才能用算法写出自瞄和透视。

首先我们拿自身的血量当突破口，找出周围所有目标的遍历。

竞技场血量不好找，玩家乱跑乱攻击，会给我们制造很大的麻烦。

那么我们进练习场，用碰撞的方式减少自己血量。

扫描整数型自身血量不存在结果

扫描float型自身血量得到一个结果，如下

在血量属性周围观察其他属性

在血量 +1F0  +1F4 +1F8 的位置发现了 XZY

如果不拿血量当突破口，先去扫描坐标 ，由于游戏没有显示坐标,未知值去扫，会有很多结果

，很难筛选，最后会很有很多类似的结果，确定用哪一个也是一件比较累的事情。

所以选择一个合适的突破口，会事半功倍。

-58的位置也发现了   UTF_8的名称

确定了 属性

我们可以开始追踪了

对血量下断断到这条代码

如果我们往上追寄存器会非常的繁琐

代码非常多，而且返回多次，光是追寄存器就要追踪半小时，如果追踪能力不强很容易就丢了

那么有没有什么好办法的呢？

有的

我们可以先去尝试 堆栈中是否出现过 该数值，如果出现过，我们直接到最先出现的位置继续

追就可以了，我们现在所在的位置相当于调用的较内层，而通过这样的方法

我们就直接来到了程序最先用该数值的地方，绕过了中间追寄存器的过程。

方法如下

首先断下以后  复制要追的寄存器的值

然后到堆栈中搜索

一直 CTRL+l  查找到最后一个位置，也就是程序中最先出现的位置

通过上图发现是一个call 的第一个参数(当然堆栈中的返回到是会欺骗我们的)

所以我们直接跳过去  下断验证

发现确实不对    第一个参数不是我们要追的数值

那么说明堆栈是有问题的

怎么办呢？我们可以 到倒数第二次出现的位置追  ，总之能省多少追踪的力气省多少

是这个返回到的第4个参数

那么我们 过去下断验证

发现是正确的

来源于ESI

我们返回上层继续追踪

再网上翻

找到了数组

公式很简单

[[22F6ECC]+esi*4]

熟悉并且玩转堆栈会让逆向事半功倍

由于图片限制，后续图片传不上去，请见谅。

茶白666

没配图

1532093101

。。。。。。。。。。。。。。。。。。。。。。。。。。