ASM code in Byte Format?

03/18/2012 23:02 Crack-wtf#1

Hi Leute.

Ich nutze seit l�ngerem den Debugger von CheatEngine, und vermisse eine Funktion.

N�mlich nach Befehlen zu suchen.

z.B. zu suchen wo "Call MeineAddresse" steht.

Jetzt wollte ich mir ein Tool Basteln, womit ich solche Befehle in Hex Umwandeln kann, um es dann mit CE Suchen zu k�nnen.

Nun stehe ich aber vor einem Problem.

Ich weis nicht, wie Addressen "portiert" werden.

z.B. ist "00470290" in Hex format "A9 C1 FF FF"

Hoffe jemand kann mir weiterhelfen.

EDIT:
"00000000" = "FB E6 DC FE"
"FFFFFFFF" = "FA E6 DC FE"

EDIT:
Die Funktion "Find Assembly Code" arbeitet zu langsam, also nicht darauf st�tzen.

03/19/2012 13:00 MrSm!th#2

Das sind Offsets die die Adresse relativ zur Instruction-Position beschreiben.

Du willst mir nicht ernsthaft erz�hlen, dass du deinen eigenen Assembler schreiben willst oder?! Wie unn�tig..

03/19/2012 15:42 link#3

Wenn es dir nur um "call 0x11223344" geht, k�nntest du wie folgt vorgehen:

Du schreibst dir eine Funktion, die als Parameter den Anfang des Codes und die L�nge entgegen nimmt. Dann �berpr�fst du das erste Byte des Codes auf 0xE8, um bei �bereinstimmung die n�chsten vier Bytes auf die momentane Adresse + 5 zu addieren und sie dann mit deiner gesuchten Adresse vergleichen zu k�nnen. Wenn es sich nicht um 0xE8 handelt oder die Adresse nicht die gesuchte ist, rufst du einen Length Disassembler wie z.B. mlde32 mit der momentanen Adresse auf, der dir dann die L�nge der Instruktion zur�ckgibt, sodass du diese �berspringen kannst und an der n�chsten landest, die du dann wieder auf 0xE8 �berpr�fst.

Bei statischer Analyse kannst du halt auch nur mit statischen Adressen arbeiten und sowas wie "call eax" oder "call [eax]" f�llt dann nat�rlich direkt aus den M�glichkeiten..

"call [0x11223344]" k�nntest du noch mit einbeziehen, indem du das erste Byte auf 0xFF und das zweite auf 0x15 (disp32-addressing, reg=2) �berpr�fst, die n�chsten vier Bytes dann als absolute Adresse nimmst, aus dieser dann die Adresse, die gecallt wird, und sie mit deiner vergleichst.
Solch ein Call k�nnte allerdings auch mit dem SIB-Byte kodiert werden, sodass du das zweite Byte auf 0x14 und das dritte noch auf 0x25 �berpr�fen m�sstest und erst dann die Adresse als DWORD kommt. Ist aber eher ungew�hnlich, da der Befehl halt unn�tigerweise ein Byte gr��er ist.

Du k�nntest aber auch OllyDbg und dann Strg + R (Find References) benutzen.

03/19/2012 15:53 MrSm!th#4

Quote:

Originally Posted by link

Wenn es dir nur um "call 0x11223344" geht, k�nntest du wie folgt vorgehen:

Du schreibst dir eine Funktion, die als Parameter den Anfang des Codes und die L�nge entgegen nimmt. Dann �berpr�fst du das erste Byte des Codes auf 0xE8, um bei �bereinstimmung die n�chsten vier Bytes auf die momentane Adresse + 5 zu addieren und sie dann mit deiner gesuchten Adresse vergleichen zu k�nnen. Wenn es sich nicht um 0xE8 handelt oder die Adresse nicht die gesuchte ist, rufst du einen Length Disassembler wie z.B. mlde32 mit der momentanen Adresse auf, der dir dann die L�nge der Instruktion zur�ckgibt, sodass du diese �berspringen kannst und an der n�chsten landest, die du dann wieder auf 0xE8 �berpr�fst.

Bei statischer Analyse kannst du halt auch nur mit statischen Adressen arbeiten und sowas wie "call eax" oder "call [eax]" f�llt dann nat�rlich direkt aus den M�glichkeiten..

"call [0x11223344]" k�nntest du noch mit einbeziehen, indem du das erste Byte auf 0xFF und das zweite auf 0x15 (disp32-addressing, reg=2) �berpr�fst, die n�chsten vier Bytes dann als absolute Adresse nimmst, aus dieser dann die Adresse, die gecallt wird, und sie mit deiner vergleichst.
Solch ein Call k�nnte allerdings auch mit dem SIB-Byte kodiert werden, sodass du das zweite Byte auf 0x14 und das dritte noch auf 0x25 �berpr�fen m�sstest und erst dann die Adresse als DWORD kommt. Ist aber eher ungew�hnlich, da der Befehl halt unn�tigerweise ein Byte gr��er ist.

Du k�nntest aber auch OllyDbg und dann Strg + R (Find References) benutzen.

Er will kein Tool zum Suchen schreiben bzw. eins haben, sondern ein Tool, das ihm die Call Instruction in Opcodes �bersetzt, damit er die per CheatEngine suchen kann.

03/19/2012 16:02 link#5

Achso, um mit CE dann nach den Hex-Werten zu suchen.
Aber da ein Call ja relativ ist, wird das nicht m�glich sein. Deswegen entweder ein eigenes Tool schreiben oder z.B. OllyDbg verwenden.

03/19/2012 17:10 MrSm!th#6

Quote:

Aber da ein Call ja relativ ist

Was ihm ja nicht bekannt war.

Ich find es ohnehin irgendwie unn�tig, daf�r extra ein eigenes Tool zu schreiben, gibt doch schon genug Tools wie Olly Plugins etc.
Ansonsten, wie du schon sagtest, wird eine eigene Dll notwendig sein, die den Speicher nach Calls zur Adresse durchsucht.

03/19/2012 18:10 Nightblizard#7

Falls du einen Assembler schreiben willst, ist der folgende Link Referenz Nr. 1 f�r dich:
[Only registered and activated users can see links. Click Here To Register...]

Sehr lesenswert, aber ziemlich harte Kost.

03/20/2012 22:09 Crack-wtf#8

Ok leute ich habs jetzt rausgefunden.
Pinki hat mir nen gedankensto� gegeben.
Bei Jumps: Addy Des jumps - Addy zu der gejumpt wird -5. Und bei dem ergebnis alle bytes umdrehen.
Bei Mov: Addy die beschrieben wird einfach umdrehen. Und dahinter den wert auch umdrehen.
Bei Call: �hnlich wie bei Jumps

03/20/2012 23:33 MrSm!th#9

Genau das haben wir dir schon beschrieben.