더 이상 이 블로그는 운영되지 않습니다. 새 블로그로 가 주세요.
작업 상황 #2
2004/09/30 AM 12:25 | 개발/역공학 | 2 comments | 0 trackbacks | AllBlog: vote, to pocket
디스어셈블 시작. 범인(..)으로 예상되는 PK_LoadPakFile을 ida를 부여 잡으며 분석 중. 어셈블리 명령에 익숙하지 않고 무엇보다도 일반적인 형식이나 그런 걸 몰라서 삽질하고 말았다. 현재 상황:
- PK_LoadPakFile(정확히는 거기서 호출하는 이름 없는 함수)이 "XIP1"이라는 헤더를 인식하는 것은 확실하다.
- win32 api에서 제공하는 파일 매핑(파일을 메모리에 미리 읽어 두고 접근하는...)을 사용한다. (cwnry 님에 의하면 mmap이랑 비슷하댄다)
- PK_LoadPakFile은 offset 43D3F0에 있는 진짜 함수를 호출한다. 한참 보고서야 알았는데 thiscall이었다. -_-;; ecx에는 전역 변수 offset F900F8이 들어 간다. 따라서 이 함수는 메소드라는 결론이... 으음...
- "XIP" 다음의 1은 버전이다. 0도 인식하는 것 같은데 봐야 알겠다. 으으.
- PK_LoadPakFile(정확히는 거기서 호출하는 이름 없는 함수)이 "XIP1"이라는 헤더를 인식하는 것은 확실하다.
- win32 api에서 제공하는 파일 매핑(파일을 메모리에 미리 읽어 두고 접근하는...)을 사용한다. (cwnry 님에 의하면 mmap이랑 비슷하댄다)
- PK_LoadPakFile은 offset 43D3F0에 있는 진짜 함수를 호출한다. 한참 보고서야 알았는데 thiscall이었다. -_-;; ecx에는 전역 변수 offset F900F8이 들어 간다. 따라서 이 함수는 메소드라는 결론이... 으음...
- "XIP" 다음의 1은 버전이다. 0도 인식하는 것 같은데 봐야 알겠다. 으으.
TrackBack URL: http://sapzil.info/soojung/trackback.php?blogid=44
Comment: 토끼군 (2004/09/30 AM 11:21)
아. 그럴 수 있겠군요. 전 클로즈 베타를 안 해 봐서 모르지만 orz
Comment: 디토 (2004/09/30 AM 09:01)
아마도 클로즈 베타 버전의 것이 0일듯.
역시 어셈은 어렵군요. 수고하세요;