아 어느정도 결과는 나왔으나 다듬을수가없군요. 대략 바이트패스도 해야할듯싶고....

여하튼 지금까지 결과입니다.

기리기리버전 2.31.2011.615 패턴1

http://www.getchu.com/soft.phtml?id=729511 1/2 summer

매우 착한 녀석입니다. 메모리에 대사를 유니코드형식으로 전체적으로 가지고있고 ebx/ebp 에 포인터 형식으로 가지고

돌아다닙니다. 피시님이 공개하신 야매로 찾으면 빠르게 검색가능하더군요. 으헉 ㅡㅜ;;

기리기리버전 2.31.2011.615 패턴2

http://www.getchu.com/soft.phtml?id=727031 ものべの

http://www.getchu.com/soft.phtml?id=740657 中の人などいない！

 http://www.getchu.com/soft.phtml?id=725093 DRACU-RIOT!

http://www.getchu.com/soft.phtml?id=705655 atled -everlasting song

대망의 UTF-8로 대사를 들고다니다가 psbfile.dll 에서 트랜스 명령이 떨어지면 본진에 와서 유니코드로 변경후 다시 디엘엘복귀

본진출동 커널 본진 이런식으로 돌아다닙니다.

요놈의 가장큰문제는 청소를 안합니다. 으 드러운놈들// 패턴이 없습니다. stage > 골목길 > face > 웃음

머이딴식 이더군요 다른 위치를 좀더 수색해봤으나 제 능력상에서는 죄다 거기서 거기더군요.

기리기리버전 2.31.2010.425 패턴3

http://www.getchu.com/soft.phtml?id=718738  さくら、咲きました。

http://www.getchu.com/soft.phtml?id=731868 Dolphin Divers

피시님 야매로 한번 해보긴했으나 걸리진 않더군요. 아직 건들진 않았습니다. sqirel 쪽 디엘엘에서 대사처리는 거의 다 해버리고

본진에는 f:\\블라블라\시나리오.scx 이런식으로 넘겨주더군요. 패턴2번 두드리느라 이놈은 힘이딸리니 포기상태.

==================================================================패턴1

픽스라인 문의 입니다. 유니코드에서 번역안함으로 이름값을 보냈을시 위와같이 출력됩니다.

혹 픽스라인에서 돌려보낼때 유니코드가 아닌 아스키로 보내는건 아닌지 의심이 들어서 올려봅니다.

피시님 야매표.

ENCODEKOR,FORCEFONT(15),HOOK(KAGParserEx.dll!0x0000B355,TRANS(EDX,PTRCHEAT,UNICODE),RETNPOS(COPY))

더러운 내꺼

ENCODEKOR,HOOK(KAGParserEx.dll!0x0000E1BB,RETNPOS(COPY),TRANS([ebx+0x5c],PTRCHEAT,UNICODE)),FORCEFONT(15)

DenyWord.ini CustomDic.txt

KoFilter{},DenyWord{},DumpText{},CustomDic{CDic}

ATkiri 와 디나이워드를 어떤식으로 처리해야하는지 픽스에선 어떻게 해야하는지 전체적으로 감이안옵니다.

지금 올려 진걸로하면은 몇명 음성출력안되고 루비문 어버버해버리는데 테스트용이니 참고해보세요.

찾았던 형식은 대본스크립트 메모리 검색시 걸리는거 브포걸고 따라다니면 되더군요. 그래서

66f420 esi / 66f6e0 [ebx+5c] 요두군데를 베이스로 잡고 작업을했는데 첫째문장 너무 들락날락거려서 결국 디엘엘로 들어가서

카그디엘엘 E1BB 로 가게되었습니다. 근데 요놈은 그냥 피시님표 야매가 빠르더군요.

======================================================================

청소 드럽게 안하는 UTF-8을쓰는 패턴2입니다. 저러면서 뻗어버려요 왜 뻗는지도 모르고 미치는줄알았습니다.

요렇게 한 며칠 튕기는것만 보다가 오늘에야 문장하나를 집어넣었씁니다.

 음영된곳이 추가된 문장입니다. 그냥 뒤에4바이트 깔끔하게 지워버렸습니다. 어차피 쓰레기인데 청소를 안해서 아랄 뻗는거

하악 요문장 하나 넣기가 어찌나 어렵던지. 원래는 본진에서 처리할려했는데 본진은 너무 붙어있어서 문장 넣기가 힘들더군요.

여기서 또 의심되는게 분명 esp+0x8에서 길이수정을 하면은 수정이 되어야하는데 수정이 안됩니다.

유니코드에서는 작동이 안되는건지 넣는법이 틀린건지 한번 테스트해주시길 바랍니다.

길이값만 수정되면 얼추 쓸만한 코드가 될것같습니다.

모노베노는 패턴에 잘짜여진것같습니다. 디나이 수정좀 깔끔하게 하고 길이값만 어떻게 해결되면 바로쓸수있겠더군요.

ENCODEKOR,HOOK(psbfile.dll!0x000019B8,TRANS([ESP+0x4],UNICODE,PTRCHEAT),RETNPOS(COPY)),FORCEFONT(15)

 필터

 DumpText{},DenyWord{}

psbfile.dll_19b8   << 게임폴더에서 > 플러그인폴더 > 이름변경 뒤에 _198b 지우고 사용하시면됩니다.

 DenyWord.ini << 에이비시디 다넣고 생각나는거 몇개넣어본겁니다. 특정 문자 몇개만 있으면 대충 될듯싶습니다.

알콜사 신작 中の人などいない！ 입니다.

패턴이 없습니다. 더럽습니다. 대충 바이패스 10넣고 로드할때는 바이패스 20넣으면 그럭저럭 돌아갑니다.

패턴분석좀 해주세요.

ENCODEKOR,HOOK(psbfile.dll!0x000019B8,TRANS([ESP+0x4],UNICODE,PTRCHEAT),RETNPOS(COPY)),FORCEFONT(15)

 필터 로드시 20 / 구동시 10으로해서 테스트해보세요.

DumpText{},DenyWord{CUT(20)}

psbfile.dll_19b8   << 게임폴더에서 > 플러그인폴더 > 이름변경 뒤에 _198b 지우고 사용하시면됩니다.

DenyWord.ini  << 에이비시디 다넣고 생각나는거 몇개넣어본겁니다 다듬어야하는데...

7월 신작 atled -everlasting song 입니다. 요놈도 패턴은 없습니다. 바이패스10정도하면 요런화면은 보지 않으실겁니다.

요놈은 디엘엘이 좀 변경되어서 19e1번지에서 후킹을 걸어줬습니다. 문장넣어서 19e8

 ENCODEKOR,HOOK(psbfile.dll!0x000019E8,TRANS([ESP+0x4],UNICODE,PTRCHEAT),RETNPOS(COPY)),FORCEFONT(15)

필터

DumpText{},DenyWord{CUT(10)}

psbfile.dll_19e8  << 게임폴더에서 > 플러그인폴더 > 이름변경 뒤에 _198b 지우고 사용하시면됩니다.

DenyWord.ini  << 요놈도 대충 넣은겁니다. 바이패스사용하고  길이값만 수정되면 코드화해도 될듯싶더군요.

드라큐리옷입니다. 수정 dll을 넣을시 걸립니다 ㅡㅡ;; 요놈만 딱걸리더군요.

본진 수정을 하든가 해야 깔끔해질텐데 기본적으로 이놈은 약간은 치우고 삽니다.  어느정도 돌아가다 튕기던가 할 겁니다.

ENCODEKOR,HOOK(psbfile.dll!0x000019E1,TRANS([ESP+0x4],UNICODE,PTRCHEAT),RETNPOS(COPY)),FORCEFONT(15)

필터

DenyWord{CUT(10)},DumpText{}

DenyWord.ini  요놈도 패턴에 답이없더군요. 청소를 본진에서 시켜주든가하고 길이수정하고 바이패스쓰면 코드화될듯싶습니다.

 ===========================================================

아 드럽게 튕겨나오는데 덤텍에서 이유도 안알려주고 튕기고 그냥 조작없이 유니코드만 눌러서 볼려구해도 튕기고

튕튕튕튕튕튕튕튕 정신건강에 매우 해롭더군요.

psbfile.dll 에서 검색할시에는 명령문검색에서

XOR ECX,ECX

요놈에서 CALL EAX 를 찾아보시면되겠습니다.

본진에도 후킹 가능한 곳은 있씁니다. 머 콜로 넘겨지는 부분이긴합니다.

ENCODEKOR,HOOK(0x0066F728,TRANS([ebp+0xc],PTRCHEAT,LEN([EBP+0X10]),UNICODE),RETNPOS(COPY)),FORCEFONT(15)

바로 66F728 지역에서 [EBP+0XC] 지역입니다. 위에 4개모두 여기서 가능합니다. 다만 명령문이 좀더 많이 지나가는것 같더군요.

기리기리버전 2.31.2011.615  의 대사는 모두 66F6E0(함수시작부분)을 지나갑니다. 거기서 좀더 아래 66F728이 전 후킹지역으로

좀더 낫더군요. 그리고 66F420 이지점에도 모두 지나가긴합니다만 패턴1은 대사를 가지고오고 패턴2는 그냥 텍스트 지나간다고만

알려주더군요.

그리고 한곳더 psbfile.dll 에서 트랜스 시키기위해서 본진에 보내면 UTF-8 > 유니코드 > 리턴

요때 본진에서 나가는 주소가 67CE8A 이곳인데 여기에서 작업을 걸어도 되긴하겠더군요.

기리기리버전 2.31.2011.615 은 위에 주소가 모두 동일합니다. (psbfile.dll 요놈은 약간 틀립니다)

============================================================ 

============================================================

3번째 패턴은 아직 야매짓 한번해보고 건들지도 못하겠군요.

기리기리버전 2.31.2010.425 패턴3

요놈은 문자길이를 바이트로 측정하더군요.  디버거 자체조작으로 esp+0x8 에서 가능한데 적용은 못시키겠더군요.

Dolphin Divers 

 さくら、咲きました。

FORCEFONT(15),ENCODEKOR,HOOK(sqlite3.dll!0x000285B6,TRANS([ESP+0x4],PTRCHEAT,UNICODE,LEN([ESP+0X8])),RETNPOS(COPY))

DenyWord{}

기본적으로 유니코드형으로 서치하면 서치가 됩니다. 다만 처음 서치할시 잘 안잡힙니다.

클릭하고 로드하고 여기로드하고 저기로드하고 로드를 계속 하다보면 언젠가는 잡힙니다.

sqlite3.dll 요놈에서 대사처리는 유니코드형으로 되고 특문은 아스키값으로해서 따로 도는것 같더군요.

베이스는  6DEC0

55 8B EC 57 56 8B 75 0C 8B 4D 10 8B 7D 08 8B C1 8B D1 03 C6 3B FE 76 08

바이너리 서치해서 두번째 걸리는 놈입니다.

후킹할만한 곳은 285b6

8B FD 8B 76 18 8B CF 2B CE 51 6A 00 03 F3 56

바이너리 서치해서 위쪽 콜문

길이수정만 어찌 해결하면 어느정도 쓸만해지긴 할듯싶습니다.

돌핀다이버즈 같은경우 이름이 찌그러지지 않아서 조금 의심이 들고.

さくら、咲きました。같은경우 찌그러지는게 있더군요.

============================================================

대충 지금까지 결과 보고였습니다.

한 5개를 한꺼번에 만지다보니 정신도없고 튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕튕

지금 올려놓은 걸로 테스트해보실분은 테스트해보시구요. 패턴분석을 못하겠씁니다.

테스트용입니다. 튕길거에요. 무지막지하게 견뎌내시고 패턴이나 디나이워드 쓸만한것좀 건져보세요.

혼자는 도저히 못하겠네요. 으헉. 그리고 길이값 한번 넣어보시고 성공시키시면 좀 알려주세요.

디버거상태에서 수동 변경으로 해봤을시에는 제대로 길이값 수정된만큼 출력이됐는데 아랄로는 적용을 못시키겠더군요.

알콜사 때문에 시작한건데 이젠 정말 정내미가 떨어지는구나.

공은들였으나 현재 쓸만한건 하나도없는상태군요.

__________________________________________________________________________

간단요약.

66F420 검색

패턴1 : 스크립트형식 오면  > 피시님표 야매

패턴2 : 선언문이 온다 (예 'text')> psbfile.dll > 커맨드서치 > XOR ECX,ECX > CALL EAX

패턴3 : 검색된 위치가 함수시작부분이 아니다 > sqlite3.dll >  바이너리 서치 >

8B FD 8B 76 18 8B CF 2B CE 51 6A 00 03 F3 56  > 위쪽 콜문.

__________________________________________________________________________