2017年08月27日

AIファイルに関する報告書を公開

しました
DLはリンクから

この仕組みで自己進化的なキャラの製作、変数領域としての使用、ファイル書き換えなどの隔離技術がさらに発展するかもね

素晴らし〜い
posted by めろんピエロ at 21:20| Comment(0) | MUGEN | このブログの読者になる | 更新情報をチェックする

2017年08月26日

AIファイル

defにai=kfm.aiみたいな記述を加えるとAIファイルを登録することができる

実はこのファイル、どうやらあるタイミングで書き換えられているみたいで

調べたところ、書き換えタイミングは
キャラを選択した後、試合中にShift+F4
該当キャラで試合を終えた後、別のキャラで試合を開始
該当キャラで試合を終えた後、MUGENを終了させる
こんな感じ

なら、メモリ上の何処かにあるAIファイルの値を書き換えてやれば任意の値を.aiのファイルに保存できるのでは?ってなった

てなわけで値のありかを探す
結果、[char]+3D8に登録したAIファイルの名前が書かれてて、さらに後の方には登録ファイルの内容に繋がるアドレスも発見できた

その内容を書き換えれば上記のタイミングでAIファイルが上書きされることも確認

ただ、書き換え方次第では落ちるっぽいからそこは要調査かな

でもこれで試合ごとに進化するキャラを実現しやすくなるとは思うからすごく楽しみ
posted by めろんピエロ at 01:53| Comment(0) | MUGEN | このブログの読者になる | 更新情報をチェックする

2017年08月25日

潜入しない探査

アドレスを見た有効ステートかどうかの判断 - Statedef 5150

この探査搭載してるキャラなんておったんか…
残像Power参照の頃は参照先変えるのが怠かったから敬遠してたけど、コード実行が%fで軽く実行できるようになったから搭載してみる価値ありそう

ステコン詳細配列のアドレス位置も自分で調べたのと同じかな

アドレス位置とステコン種別IDだけ教えられても調べる記述書けない人は多い気がする

トリガーも調べようも思えば調べられるし、valueに指定されてるトリガー情報もわかるからこの探査便利だな…
posted by めろんピエロ at 18:32| Comment(0) | MUGEN | このブログの読者になる | 更新情報をチェックする

2017年08月19日

地味に便利になった(追記あり)

DTCのテキスト内で%cで00(NUL)を使ってもコードが途切れないことが判明したので、過去記事で「参照先上位1byteが0の時〜」のようなフラグは必要なくなりました

今度時間があればそれに対応した任意代入コードも作ろうかと思います

追記
%cで0指定可能になったのは嬉しいんだけど
かわりに%%fが使えなくなったせいでparamsの枠を一つ%f用に確保しなきゃいけなくなった
よって他の用途にも使えるフラグ枠を消さざるを得なくなったのが痛手
posted by めろんピエロ at 23:40| Comment(0) | MUGEN | このブログの読者になる | 更新情報をチェックする

2017年08月18日

MUGEN起動時にハックしたい(追記あり)

ちょいちょい調べてるんだけど、全く糸口がつかめない

とりあえずsffのポトレでなんか攻撃できねーかなーと思ってはいるんだけど…

絶対何処かでヒープに乗っけてるだろうからうまくバッファオバフロにつなげられればなぁ

追記
drab氏によると起動時攻撃はdefファイルに細工して行うタイプが結構前に成功してたそうです
ただXP限定なのが痛い

sffの読み込みに関係するcall先は
40DC8B CALL 00454C10
で行われてることは判明したけど、中々処理を追えないなぁ
posted by めろんピエロ at 03:15| Comment(0) | MUGEN | このブログの読者になる | 更新情報をチェックする

2017年08月12日

drab氏の記事(追記あり)


文字数によって不具合が出るのはテンプレ出した当時からわかってたけど、
今までのDTCtextコードと似たような使い方をするためにはここのアドレスかスタックポインタ乗っけるしかなかったからなぁ

(あと正直、改善策が後々出てくることを期待して適当に作ったところはある)

私は残像先のアドレス使ってコード実行するテンプレもあるから別にあまり困ってない(コードの長さの制限はあるけど)

%f・%e・%gでも利用可能なのはコード読めばわかるわな

他にコード埋め込める場所で楽なのあったっけ?
変数/残像/DTCtextくらいしか浮かばんわ

追記
熄氏によってtext出力地点のespを実行先に指定すれば安全(?)に1ステコン実行ができるようになりました
posted by めろんピエロ at 13:46| Comment(0) | MUGEN | このブログの読者になる | 更新情報をチェックする

2017年07月29日

%fのやつ情報追加(随時更新あり)

追加でちょっと調べました
随時更新します

追記1 レジスタに補足
追記2 レジスタに補足

・修復
先頭に
push 317A9782
sub dword [esp],31313131
最後に
RET

・コード実行場所
4B48E8を書き換えるだけなのでアドレスさえわかれば残像や変数領域でも実行可能

・アドレス取得や4B48E8書き換え
ここは既存のtextコード実行の方がステコン数減って楽かも

・レジスタ
EBXに自己アドレスはない
[EDI-4]に自己アドレスが入ってると思われる
→確定で入ってます

・コード連続実行
%fの行頭にコードを置いて次のステコンでまた%fすれば可能→ステコン数減る

posted by めろんピエロ at 20:09| Comment(0) | MUGEN | このブログの読者になる | 更新情報をチェックする

コード実行処理の重さ(追記あり)

コード実行 - Statedef 5150

実行するコードが重いわけではなく、スタックバッファオバフロするために1024バイト埋めるのが重いってことか

そう言われればそうだな

ってことで、できるだけコード実行形式を変えずに軽めのコード実行をできるようにした

使ってるのは%fのcall
この解説は過去記事にあるからわからなかったら見てください

必須なのはアドレス取得
[[char+0x345C]+4]を取得してね
これを取得したあとは、%nで4B48E8に取得した値を代入
その後コードのみをDTCで出力(1024バイト埋める必要はない)
で、その次のステコンで%fのDTCを実行する

テンプレはこんな感じ(var(0)=[[char+0x345C]+4])



[state ];ここから4個はコード実行箇所代入
type=displaytoclipboard
trigger1=1
text="%.*d%n%d"
params=(var(0)&255),0,4933864
ignorehitpause=1
[state ]
type=displaytoclipboard
trigger1=1
text="%.*d%hn%d"
params=(var(0)&(255*256))/256,0,4933865
ignorehitpause=1
[state ]
type=displaytoclipboard
trigger1=1
text="%.*d%hn%d"
params=(var(0)&(255*256*256))/(256*256),0,4933866
ignorehitpause=1
[state ]
type=displaytoclipboard
trigger1=1
text="%.*d%hn%d"
params=(var(0)&(255*256*256*256))/(256*256*256),0,4933867
ignorehitpause=1
[state ];ここから3個は修復
type=displaytoclipboard
trigger1=1
text="%.*d%n%d"
params=251,0,4933868;追記:ここのアドレスがガバってたので修正
ignorehitpause=1
[state ]
type=displaytoclipboard
trigger1=1
text="%.*d%hn%d"
params=98,0,4933869
ignorehitpause=1
[state ]
type=displaytoclipboard
trigger1=1
text="%.*d%hn%d"
params=73,0,4933870
ignorehitpause=1

[state ];これがコードステコン
type=displaytoclipboard
trigger1=1
text="瑞瑞瑞瑞";NOPを8個並べただけ、復帰処理がないので実行すると落ちます
ignorehitpause=1
[state ];コード実行ステコン
type=displaytoclipboard
trigger1=1
text="%f"
params=0.0
ignorehitpause=1

[state ];ここから3個は修復
type=displaytoclipboard
trigger1=1
text="%.*d%n%d"
params=81,0,4933864
ignorehitpause=1
[state ]
type=displaytoclipboard
trigger1=1
text="%.*d%hn%d"
params=102,0,4933865
ignorehitpause=1
[state ]
type=displaytoclipboard
trigger1=1
text="%.*d%hn%d"
params=73,0,4933866
ignorehitpause=1

こんな感じですね
%nでの代入は最初と最後に1回ずつ行えば大丈夫なので実質ステコン2個でコード実行できます
通常通り%cが使えるのか、コード内での修復処理はどうやるのか、などは未確認なので今度時間があったら調べてまたブログに書くと思います.
posted by めろんピエロ at 11:45| Comment(0) | MUGEN | このブログの読者になる | 更新情報をチェックする

2017年07月18日

前記事の追記+テンプレ公開

しました
DLは以下から可能です。
言わずもがなですがメモ帳等で保存するとコード崩れるんで注意してください。

テンプレDL
posted by めろんピエロ at 01:24| Comment(0) | MUGEN | このブログの読者になる | 更新情報をチェックする

2017年07月17日

もっとコード改良(追記あり)

代入先数値と参照元数値をキャラアドレスからの距離で指定できるように改良

コードの内容は
参照元で指定した領域に入っているアドレスの中身を、代入先アドレスに代入する
要するにvar(0):=[var(1)]みたいなやつ

前回の記事と同様に%cで数値指定してください

フラグの部分はビットごとに処理を分けています
1:参照元アドレス変位の上位1バイトが0
2:参照元アドレス変位の下位1バイトが0
4:代入先アドレス変位の上位1バイトが0
8:代入先アドレス変位の下位1バイトが0
16:各バイトが全て0ではない


pushad
pushfd
xor eax,eax
xor ecx,ecx
xor edx,edx
mov cl,;フラグ
test cl,10
je *0
xor ecx,ecx
*0 test cl,2
jnz *1
mov al,;参照元のアドレス下一桁
*1 test cl,1
jnz *2
mov ah,;参照元のアドレス上一桁
*2 test cl,8
jnz *3
mov dl,;代入先のアドレス下一桁
*3 test cl,4
jnz *4
mov dh,;代入先のアドレス上一桁
*4 mov edi,[ebx+eax]
mov edi,[eax]
mov dword [ebx+edx],edi
popfd
popad
add esp,8
pop esi
sub esp,0xFFFFFC01
inc esp
mov dword [esp],0xFFB8EC0C
not dword [esp]
retn


勘の良い方はお気付きだと思いますが、フラグと参照元と代入先の指定で既に引数を5つ使用しています。
これではバッファオーバーフローのために空白を埋める作業に必要な%1024d(一例)の引数を指定することができません。
そこで、persistent弄りを用いて引数を持ってくることでうまく引数不足を回避します。

記述の一例は後で追記します。

追記:コードを少し変更しました
加えてテンプレを公開しました。

追記2:コードに重大な欠陥があったので修正
posted by めろんピエロ at 12:59| Comment(0) | MUGEN | このブログの読者になる | 更新情報をチェックする