0x1 线索:

在技能的CD中释放技能游戏会弹出信息, “技能冷却时间还剩 “,我们就用CE搜索这个值，以此为线索

技能冷却时间还剩 对应的UNICODE为

80 62 FD 80 B7 51 74 53 F6 65 F4 95 D8 8F 69 52

0x2 调试:

启动dxf,

od附加，ce搜索,找到一个地址，去OD中对其下硬件读取断点

0E88E8E0  80 62 FD 80 B7 51 74 53 F6 65 F4 95 D8 8F 69 52  技能冷却时间还剩

0E88E8F0  25 00 2E 00 2A 00 66 00 D2 79 00 00 00 00 00 00  %.*f秒...

然后去副本，触发这个地方,先走出去，往上回溯到关键地方

0227BCA3    E8 48E0D5FF     call    01FD9CF0

0227BCA8    83C4 08         add     esp, 0x8

0227BCAB    50              push    eax

0227BCAC    68 88C00000     push    0xC088

0227BCB1    E8 FA8F1201     call    033A4CB0

0227BCB6    83C4 04         add     esp, 0x4

0227BCB9    50              push    eax

0227BCBA    8D95 F0FBFFFF   lea     edx, dword ptr ss:[ebp-0x410]

0227BCC0    68 00040000     push    0x400

0227BCC5    52              push    edx

0227BCC6    E8 B5A454FE     call    007C6180

0227BCCB    8B0D 446CCD04   mov     ecx, dword ptr ds:[0x4CD6C44]    ; dnf.04DEA8E8

0227BCD1    83C4 18         add     esp, 0x18

这里看上去比较正常，我们在这里进行第一轮测试

0x3:测试

往上找关键的跳转

0227BC5B    807D 0C 00      cmp     byte ptr ss:[ebp+0xC], 0x0

这里，没有触发。

0227BC4D   /74 0C           je      short 0227BC5B 没有触发

0227BC22   /0F84 05010000   je      0227BD2D  这里跳转了

我们要把这里给强制跳转掉,进行第二轮测试,无CD成功

0x4:结束

0227BC13    8B45 1C         mov     eax, dword ptr ss:[ebp+0x1C]

0227BC16    50              push    eax

0227BC17    8BCB            mov     ecx, ebx

0227BC19    E8 42ED1300     call    023BA960                         ; 关键CALL

0227BC1E    8BCB            mov     ecx, ebx

0227BC20    84C0            test    al, al

0227BC22    E9 06010000     jmp     0227BD2D                         ; 这里判断了CD是否在CD中

0227BC27    90              nop

来源：邮件投稿

*转载请注明来自游戏安全实验室（GSLAB.QQ.COM）