Reverse:欧卡mod默认路径更改

最新推荐文章于 2024-07-16 18:00:34 发布
最新推荐文章于 2024-07-16 18:00:34 发布
阅读量1.8k 收藏 26
点赞数 28
分类专栏: # Reverse 文章标签: c++ 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fishwheel/article/details/135497901
版权

1.前言

最近 buy 了一个方向盘,就想去尝试一些汽车模拟类游戏,于是便下载了《欧洲卡车模拟器2》(Euro Trunk Simulator 2)来玩。这个游戏一大好处就是有很多的 mod 下载游玩。

安装mod的过程中遇到了一个很大问题,如果不是 Stream 创意工坊中下载的 mod 需要将其放置到C:\User\##\Documents 的默认目录中保存,但考虑到 mod 的体积很大(almost 50G),就想更改 mod 的默认路径。但是更改时出现了问题,官方并没有给出 mod 路径修改的方式

于是这篇文章便诞生了,记录一下逆向的过程,便于以后进行考古

2.逆向过程

欧卡是一款单机游戏,所以对其进行动态调试是很安全的,而逆向的目标是找到相关的路径字符串,然后将其更改,所以动态分析将是主要的分析手段,同时IDA的静态分析界面十分 pretty 于是也用IDA生成了一个*.i64* 文件用来记录一下分析的过程。

2.1 关键API函数

mod 是存放在C:\User\##\Documents\Euro Trunk Simulator 2\mod 目录下的文件,所以主程序在识别 mod 时一定会去遍历那个文件夹。如此便能想到 Windows与之相关的关键API函数。

CreateFileW 函数用来打开或者创建一个新的文件,当找到 mod 文件时一定会用这个函数进行操作。具体说明见 CreateFileW

FindFirstFileA 函数用来打开一个指定的文件夹并返回其中的第一个文件。具体说明见 FindFirstFileA

FindNextFileAFindFirstFileA 配合使用,利用其获取到的句柄(handle)来按顺序继续遍历文件夹中剩下的内容。具体说明见 FindFirstFileA

SHGetFolderPathW 函数通过 CSIDL 获取 Windows 中常用文件夹的路径,这里就是 Documents 文件夹的路径,所以即使该可执行程序未加密,在其中搜索 我的文档 字符串也是找不到的。具体说明见 SHGetFolderPathW

2.2 动态调试与交叉引用

选用的动态调试器是:x64dbg。首先将x64dbg打开,然后通过steam运行游戏。下面这一步需要操作快一点,通过x64dbg的 append方式(快捷键:ALT+A)将正在运行的 eurotrucks2.exe程序打开。
在这里插入图片描述
在这里插入图片描述

2.3 SHGetFolderPathW为线索

由于我们知道欧卡是将 mod的默认目录设置在了我的文档下,所以这个函数一定会被调用,用来获取我的文档路径。

寻找改函数进而获取到对我们最有价值的控制流从而缩小需要逆向的范围是很关键的,下面有两种方式进行寻找——动态(x64dbg)和静态(IDA)。

2.3.1 寻找该API函数

x64dbg中寻找

首先需要知道这个API函数是在那个DLL文件中,这是查阅 SHGetFolderPathW,就可以找到其依赖的 DLLShell32.dll
在这里插入图片描述
在x64dbg的符号一栏中进行过滤,将模块过滤为 Shell32.dll,而函数名称则是SHGetFolderPathW ,获取到该函数在内存中的地址,在其处设置下断点。
在这里插入图片描述

IDA中寻找

IDA中可以直接在 Import 引入表中搜索相应的关键字,进而锁定到相关函数。
在这里插入图片描述
双击跳转到反汇编窗口中,这个函数只有一个交叉引用(XREF),看到这里就很高兴,这样一步就定位到了关键函数中。
在这里插入图片描述
双击交叉引用的函数,跳转跟随,这个函数反汇编代码看上去还是挺多的,大致看一下其中调用的API函数有SHGetFolderPathWGetModuleFileNameWGetCurrentDirectoryW 等那么可以大致猜测出这个函数的基本功能就是用来获取相关路径的,所以将其命名为GetDirPath

2.2.2 GetDirPath动态调试

前面通过SHGetFolderPathW作为线索找到了GetDirPath 函数,查看这个函数的交叉引用项,是比较多的,并不像SHGetFolderPathW那样只有一个引用对象,所以这时通过x64进行动态分析来排除掉与其他的引用项,找到我们需要的。 在这里插入图片描述
通过下面简单的运算将 IDA 中的地址转化为x64中地址。
①通过(按下Ctrl + G)IDA计算出相对于.txt段的偏移=1400E54C0 - 140001000 = E44C0(这里不是RVA,RVA是相对于基址的偏移,而这里是相对于.text段的)。
在这里插入图片描述
②在x64的内存布局中找到.text段的基址,加上刚才计算的偏移量就可以得到在本次调试中GetCurrentDirectoryW的地址了。
在这里插入图片描述
上面只是介绍如何在 x64dbg 和 IDA中进行地址转化,我们并不一定需要在GetDirPath 函数的开头设置断点。由于我们只关心哪一条控制流会调用SHGetFolderPathW函数,我们在调用这个函数的 call 语句处设置断点。
在这里插入图片描述

按下F9,运行到这个断点处。这时在 x64dbg 右下角的栈窗口中寻找返回地址,这个就是调用GetDirPath 时会运行到获取目录控制流的函数 caller
在这里插入图片描述

这个返回地址上的 call 指令调用的函数地址后四位与GetDirPath 的54C0不同,应该不是在此处调用的该函数。
在这里插入图片描述

继续在栈中寻找返回地址,第一个以eurotrucks2作为段标记的地址。
在这里插入图片描述
可以看到这里 call 调用的函数地址后四位为54C0与GetDirPath的相同。应该就是我们寻找的 caller
在这里插入图片描述

将这个地址转化到 IDA 中查看1400D6E8A,包含这个地址的函数较短,我分析了一下大致功能,就是在获取到的 我的文档路径后面加上了 Euro Trunk Simulator 2 的字符串,所以我将其命名为GetDocumentPathWithEts2。同样的,这个函数的引用项比较多,我们还是通过动态分析来排除。
在这里插入图片描述
然而在GetDocumentPathWithEts2中对于GetDirPath的调用是一定会发生的,不存在什么控制流筛选,所以通过动态调试的方法进行排除有些不方便了。到这里我们先把SHGetFolderPathW 这条线给暂停
在这里插入图片描述

2.4 FIndFIrstFileW为线索

加载 mod 时需要遍历 mod文件夹,那么这个函数一定会被调用,我们不知道他会被用来遍历哪些文件夹,因此设置一个条件断点就很重要了,由于这个函数第一个参数就是需要遍历文件夹的目录,在x64处理器中第一个参数是通过 rcx 进行传递的。
在这里插入图片描述
因此我们在设置断点时就以rcx中的内容作为条件,**[rcx]**解引用的方式会获取到以 rcx为地址的8 bytes 的数据这个就是文档路径的前8个字节,并且传递的参数是 LPCTR 类型的也就是宽字节,所以也就是路径字符串的前4个字节转化为宽字节就行了,也就是 “C:\U”,即 55002f003a0043
在这里插入图片描述
使用F9运行,在内存窗口中观察 rcx 寄存器指向地址的变化。直到出现了,/mod/*这样的字符串结尾时停止,这时调用这个函数的 caller 就是为了来遍历 mod文件夹。
在这里插入图片描述
由于当前函数还没有进入,所以栈顶还停留在返回地址处。我们使用 [rsp] 跳转到相应的位置。在这里插入图片描述
在这里插入图片描述
将这个地址转化到 IDA 中查看该函数的交叉引用。很不幸,这个函数没有被直接调用的交叉引用项,其唯一有意义的引用是存放到一个数据段中的表中,所以这个函数很有可能是某个类的 虚函数
在这里插入图片描述

2.4.1 TravelDir函数

大致看一下这个函数的功能,在FindFirstFileW上方的函数是将ASCII的字符串转化为宽字符串,这个可以直接通过动态分析,查看前后的结果得到。
在这里插入图片描述
向上看,有操作将 “/*” 添加到指定字符串的结尾,遍历文件夹时通配符很重要,那么这个函数的功能就能大致猜测出来了,将传入的 路径添加 “/*” 之后转化为宽字符串,然后去遍历其中的内容,所以我将这个函数命名为TravelDir
在这里插入图片描述
在该函数的开头设置断点,查看参数寄存器中的值,也就是 rcx, rdx, r8, r9

重新运行后,当程序第一次在该函数处停止时,第二个参数 rdx中是对一个路径的引用,当然这个不是我们希望寻找的路径。
在这里插入图片描述
按下F9继续运行,当程序第二次在断点处停下时,第二个参数 rdx 就是我们对 我的文档\mod路径的引用
在这里插入图片描述
在这里插入图片描述
这时我们在栈帧中寻找这个函数的调用者,使用 [rsp] 在代码中跟随。
在这里插入图片描述
在这里插入图片描述

2.4.2 Caller of TravelDir

同样这个函数也是一个通过表进行引用的 虚函数。按照上面的方式进行如法炮制,寻找我们需要的参数。
在这里插入图片描述
在第一次停下时,第三个参数 r8 是对于另一个路径的引用。
在这里插入图片描述
第二次停下是,第三个参数 r8 是我们期望的参数。
在这里插入图片描述
继续根据栈帧向前推。
在这里插入图片描述
在这里插入图片描述
这个函数是有两个交叉引用项,但是由于其控制流图中必然会调用之前的函数,所以还是通过动态分析来筛选谁是他的调用者。
在这里插入图片描述

2.4.3 Caller of the Caller of TravelDIr

重新运行,第一次停止时第一个参数 rcx 指向的内存中有一个路径。
在这里插入图片描述
第二次停止时第一个参数 rcx 指向的一个路径,而且还是我们想要的。
在这里插入图片描述
继续在栈帧中回溯。这回的函数就不是 虚函数 了而是直接的调用。
在这里插入图片描述
在这里插入图片描述

2.4.4 Caller3 of the TravelDir

重新运行,这回第一次停下,在第一个参数 rcx 中就指向了我们希望的路径。

在这里插入图片描述
继续在栈帧中回溯。
在这里插入图片描述
在这里插入图片描述

2.4.5 Caller4 of the TravelDir——Critical Discovery

IDA 中大致浏览了一下这个函数,有一个关键的性的字符串 “%s/mod/”,这个字符串一定就是在文档目录后加上 mod 子目录的操作。
在这里插入图片描述
在上方的 47DB 处设置断点,观察取值。这个地方的判定是由于 IDA 在此处有一个引用。
在这里插入图片描述
运行之后,在出入到 r8 寄存器中的是一个取值,而这个路径就是文档中“Euro Truck Simulator 2”的路径。
在这里插入图片描述

2.5 锁定关键位置

在2.4 中我们已经找到了关键函数了,那么这个位置是否真的有效还需要进行试验尝试。
在这里插入图片描述
在这里插入图片描述
这个函数会在 r8寄存器传入的字符串后append 上 “/mod”,如果将这个字符串换成别的如果能够成功那么就是可行的了,同时之前在分析时也看到了 “…/…/” 这样的相对路径,真好拿来使用。

运行完上一条指令后将 r8 的值更改为 “…/…/” 字符串的地址。
在这里插入图片描述
运行函数之后成功的将路径变为了 “…/…/mod”。所以这个地方是非常有价值的。
在这里插入图片描述

3. patch方式

非常幸运的一点是,mov r8, [rdi + 1A8] 与 lea r8, addr指令是等长的,所以不需要进行额外的跳转才做,会使得 patch 十分的优雅。
在这里插入图片描述

4. patch程序

如果对逆向的过程不感兴趣,只是想要更改欧卡的 mod 默认路径,直接使用这里的程序 即可,如果想要了解Patch的源代码,可以看起中的 .cpp 文件。

使用方式:
①在 Stream 中打开本地的安装路径
在这里插入图片描述
②将下载的EuroPatch.exe复制到其中。
在这里插入图片描述
③双击运行,如下的输出则表示成功Patch。
在这里插入图片描述
④将“文档\Euro Truck Simulator 2\mod”目录下的文件剪切到打开的 本地安装目录
在这里插入图片描述
在这里插入图片描述

fishwheel
关注
  • 28
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
《CTF特训营》学习总结——Reverse:逆向分析概述
PICACHU+++的博客
05-29 7001
一、逆向分析的主要方法 逆向分析主要是将二进制机器码进行反汇编得到汇编代码,在汇编代码的基础上,进行功能分析。经过反编译生成的汇编代码中缺失了源代码中的符号、数据结构等信息 ............
reverse:反转数组
06-07
默认情况下,输入array是mutated 。 要返回新array ,请将copy选项设置为true 。 var arr = [ 1 , 2 , 3 , 4 ] ; var out = reverse ( arr , { 'copy' : true } ) ; // returns [ 4, 3, 2, 1 ]; console . log
欧洲卡车模拟2小团团语音包.scs
06-16
欧卡2MOD小团团语音包
PageOffice调用本地office实现多人在线同时编辑Word文档
qq_44306545的博客
12-08 1686
PageOffice调用本地office实现多人在线同时编辑Word文档
file的getPath getAbsolutePath和getCanonicalPath的不同
08-08 2734
file的getPath getAbsolutePath和getCanonicalPath的不同 转自:http://www.blogjava.net/dreamstone/archive/2007/08/08/134968.htmlfile的这几个取得path的方法各有不同,下边说说详细的区别概念上的区别:(内容来自jdk,个人感觉这个描述信息,只能让明白的人明白,不明白的人看起来还是有
std::reverse 用法
滴水穿石的博客
01-25 2477
描述:        逆转容器中的元素顺序。 定义: template< class BidirIt > void reverse( BidirIt first, BidirIt last ); template< class BidirIt > constexpr void reverse( BidirIt first, BidirIt last ); 可能的实现: template<class BidirIt> void r
C++中std::reverse和std::reverse_copy的使用
热门推荐
网络资源是无限的
04-23 1万+
C++中std::reverse和std::reverse_copy的使用
Flutter 聊天界面使用ListView的reverse:true,导致条目太少的时候会从下往上显示,导致顶部大片空白
qq_35364808的博客
12-24 3689
这个问题其实很简单,但是看到网上都没有正确的解决方案,所以就献丑了 这个问题主要是因为布局的原因,正常情况下时候ListView的reverse:true,就算条目太少也是从上往下显示的。出现这个原因主要是因为,聊天窗口大家都是使用Column嵌套ListView,ListView负责消息列表,然后还要有输入框之类的,所以不能让ListView占满怎么屏幕所以需要使用Expanded包裹ListView,他会把ListView在条目过少的时候照样将他的宽度拉到可适应的最大,这个是导致布局异常的原因。想
BUUCTF-Reverse:xor(涉及异或脚本编写)
_Co1a
11-21 5666
xor一般指异或。异或,英文为exclusive OR,缩写成xor异或(eor)是一个数学运算符。 题目地址:https://buuoj.cn/challenges#xor 用IDA载入,寻找main函数,F5打开伪C代码: int __cdecl main(int argc, const char **argv, const char **envp) { char *v3; // rsi int result; // eax signed int i; // [rsp+2Ch] [rb.
adb命令-adb reverse的研究
suwu150
04-17 1万+
最近在开发安卓应用的时候,自以为是需要通过连接到同一个网络下,才能够进行debug调试,但现实就是啪啪打脸,只能是自己年少不自知,在同事老大哥的指导下,学习到了命令。
reverse:调用 C 的最小 R 包
06-22
当您创建一个包时,默认情况下它只是一个包含您编写的源代码的存档。 这意味着需要一个 C 编译器来安装包。 如果你的同事都安装了 C 编译器(可能他们是程序员或都使用 Linux),那么这没问题。 如果没有,请准备好...
minimist-reverse:反向极简
06-26
var mreverse = require('minimist-reverse') var argv = ['cmd','-a','--foo=bar'] assert.equal(mreverse(minimist(argv)), argv.join(' ')) var options = { _: ['cmd'], a: 1, b: 'b', c: tru
ascii-art-reverse:逆转ascii艺术
05-15
Ascii Art Reverse 这个包裹本质上是从独角兽的尾部放出的彩虹。 这是纯魔术。 安装 npm install ascii-art-reverse 用法 var reverse = require ( 'ascii-art-reverse' ) ; var art = [ ' ("-^-/") ' , " `o__...
string-reverse:企业级弦乐逆向作曲家软件包
04-15
字符串反转 这是用于反转字符串的企业级软件包。 构建企业软件的目的是允许更轻松的功能集成,高效的故障排除和类似云的可扩展性。...Reverse::reverseString( 'racecar' ); 输出 racecar 这是讽刺的。
mac nginx 初次配置的默认路径
FE-阿阳的博客
01-06 1万+
mac nginx 初次配置的默认路径 问题描述 mac 上初次配置 nginx,会出现找不见默认路径的情况,以下是总结的默认路径 解决方案 nginx 默认安装的地方(默认的配置文件路径) /usr/local/etc/nginx nginx 默认配置文件配置的是 8080 端口,会返回一个默认的 index.html 页面,这个 index.html 页面路径为下 // [version]...
C++ std::thread 管理线程生命周期:join 和 detach
最新发布
m0_59680769的博客
07-16 982
方法用于同步主线程和子线程。也就是说,当主线程调用子线程的join方法时,主线程会被阻塞,直到子线程完成其执行。这意味着join方法确保主线程等待子线程结束,然后继续执行后续代码。t.join()方法则是让子线程在后台独立运行,与主线程分离。分离后的线程(也称为“游离线程”)不能再被join,它的资源会在该线程完成后自动释放。主线程会继续执行而不会等待该子线程。如果把std::this_thread::sleep_for(std::chrono::seconds(3));
JNI: 在Kotlin和C++之间通过JNI进行接口传递,两边参数定义映射
tyfwin的博客
07-15 1049
在Kotlin和C++之间通过JNI进行接口传递时,需要注意两边参数定义的映射关系。JNI(Java Native Interface)为Java(Kotlin也适用)与本地语言(如C/C++)之间的交互提供了桥梁。在Kotlin中定义的外部函数和C++中的实现需要通过JNI签名相互对应。
C++ std::partial_sort_copy 用法
07-16 296
部分排序,即选出前n个最大值或者最小值,并将其保存到另外一个容器中。
std::vector的reverse
06-10
std::vector的reverse是一个成员函数,用于将vector中的元素倒序排列。具体用法如下: ```c++ #include <iostream> #include <vector> int main() { std::vector<int> vec{1, 2, 3, 4, 5}; std::cout << "Before reverse: "; for (auto v : vec) { std::cout << v << " "; } std::cout << std::endl; vec.reverse(); std::cout << "After reverse: "; for (auto v : vec) { std::cout << v << " "; } std::cout << std::endl; return 0; } ``` 输出结果为: ``` Before reverse: 1 2 3 4 5 After reverse: 5 4 3 2 1 ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值