묻고 답하기

크게 틀리셨습니다.

문제점이 너무 많아 대표적인것만 태클을 건다면

1. CALL과 그 내부내용으로 하여금 ESP 스택의 -0x8 범위의 내용이 변조되었다.

2. 아랄이 후킹하는 방식중 신형을 제외한 일반 기본 후킹은 후킹지점의 끝단이 RETN으로 끝나 있어야한다.

3. CALL로 들어갔다면 JMP가 아닌 RETN으로 나와라 ( 점프로 나오려면 SUB ESP,4 를 점프 위에 추가하여야한다)

4. 만약 2번을 해결한 상태였다 할지언정 후킹할 범위가 너무 적다.(아랄도 CALL로 후킹하기 때문에 적어도 NOP가 5줄은 있어야한다)

5. 만약 3번 방식을 취했다면 ATCode의 후킹방식은 신형방식으로 밖에 할수없다.

6. 위 1~5 문제점은 고사하고 메모리 덮어쓰기인 EAX 참조를 PUSH로 임시적으로 넣고 포인터를 바꾼후 POP 했으므로

결과적으로는 EAX 포인터 바꿔치기랑 동일하다.

(EAX의 주소를 아랄 주소로 아예 변경해버렸기 때문에 원래 EAX의 전후 내용이 없으므로 아랄 주소 전후를 참조할경우 당연히 에러가 날것이다. 즉, '1 mov eax,아랄버퍼포인터주소' 로 한줄만 수정한거나 다름없습니다.)

정리하면, 완전히 접근부터 끝까지 잘못되었다고 밖에 할말이 없습니다( _ _ )

일단 튕긴이유의 첫번째는 1번탓인데

2번과 3번 둘중의 방식을 취하지 않은 기법으로 ESP가 전체적으로 -0x4가 되었기 때문에

그 밑단 어딘가에서 100% 튕기게 됩니다.

그리고 그 2,3번을 해결했다고 할지언정 4번과 5번에 의해서 또 튕길것이고

4,5번을 해결했다고 하여도

이미 전제조건인 6번에 의해서

메모리 교체를 무식하게 (EAX 주소값을 그냥 아랄버퍼로 교체) 한것과 같으므로

(헷갈리실까봐 한번 더 강조. 즉, '1 mov eax,아랄버퍼포인터주소' 로 한줄만 수정한거나 다름없습니다.)

하위나 상단에서 복구해서 게임내에 변화가 없거나 더 다른 실행에러가 발생할 것입니다.

되도록 EAX의 내용을 어딘가에 복사하거나 복사해온 곳의 위치를 찾는곳이 타당하다고 말씀드리고 싶습니다.

(혹은, 특정 함수를 지나치기전에 수정하면 반영되고, 지나친 후에 수정했을때 반영되지 않는 그런 장소라면 아랄트랜스에 추후 추가할 코드복구+메모리 덮어쓰기 버퍼복구 기능이 추가된다면 암시적으로 해결할 수 있습니다.)

수정후

F8 또는 F7로

어떻게 바뀌나 직접 확인