64位数据逆向安全之了解64位浮点数运算(一)

任鸟儿

• [size=16.6667px]坐标值是一款游戏里必须的数据，通常来说，这类数据都是浮点数的，他的数据范围包括角色的[size=16.6667px]3D坐标，角色的3D朝向等等。而64位和32位坐标的分析方式其实都是类似的，只是里面有部分指令有些差别。下面我们来分析下某款64位游戏的坐标数据。
• [size=16.6667px]
• [size=16.6667px]
  首先，还是要通过ce去对坐标的初始值进行扫描，这个扫描的过程与32位是相同的，所以就不做详解了，直接得到过滤后的结果（如图）
• 这里只得到了两个结果，而对于一款大型的3D游戏来说，这很明显是不正常的。那么也就是说这个数据有可能是加密的，我们任意选择一个地址，在OD中下写入断点，分析下加密的过程和最终的来源。下断后游戏断下（如图）
• 写入来源于eax，向上分析来源于[r8]，而这个r8是一个堆栈地址，那么我们先执行到返回，看一下这个地址的来源，并在多次执行到返回后得到了r8来源于r11-60（如图）
• 我们在这里下F2断点，发现r11-60中已经有被写入X坐标了，于是我们向上分析，看下是从哪里写入的。并在函数头部发现了一条mov qword ptr [r11 - 0x60], rax（如图）
• 在这里下断后，发现这里的rax是0，也就是说这里是一个清零的代码，而真正写入坐标的代码应该在下面，并且不是向[r11-60]写入的。单步向下执行，在经过movss dword ptr [rsp + 0x58], xmm0这样的一条代码后，x坐标被写入（如图）
• movss是将单精度浮点数传入到前面的地址中，而通过观察浮点数寄存器可以看到xmm0为单浮点数的数值。向上分析xmm0，可以得到来源于[r8+4]，而r8依然是一个堆栈地址，那么我们需要继续执行到返回去分析来源。多次执行到返回之后，得到了lea r8, [rsp + 0x38]这样一条代码。也就是说我们需要分析rsp+38+4里数值的来源。（如图）
• 这里和32位游戏不同的是除了函数头部push的代码用的并不多，甚至很长一段代码都没有，所以我们直接观察rsp+3C的来源即可。在上面的不远处可以得到movss dword ptr [rsp + 0x3c], xmm3（如图）
• 而xmm3来源于divss xmm3, xmm1，这里是将xmm3与xmm1做商，并将结果以单精度浮点数的类型存放到xmm3中。而xmm1来源于基地址[0x34e92b0]，这个数值始终是100，说明我们的坐标在这里是经过除以100的加密的，反过来说，真实坐标其实是我们本地显示坐标乘以100的。（如图）
• 我们继续向上分析xmm3的来源，得到movss xmm3, dword ptr [rsp + 0x20]。在上面可以得到一个call和lea rdx, [rsp + 0x20]（如图）
• 这说明我们要的数值很可能是来源于call内部的。然而当我们在call上下断之后，发现数值其实已经被写入了，而call的内部并没有对[rsp+20]写入的代码。继续向上面分析，得到movss dword ptr [rsp + 0x20], xmm0（如图）
• 这里的r8不再是堆栈地址了，执行到返回继续分析来源。返回后得到r8来源于基地址（如图）
• 这样我们就得到了一个角色坐标的公式，如下
  0x434c430 x坐标*100
  0x434c434 y坐标*100
  0x434c438 z坐标*100
  虽然我们得到了一个稳定的来源，但是这个地址周围并没有太多其他的信息，对其进行修改也不会让游戏的本地效果有任何的改变，所以我们还需要继续向上分析真正的来源。我们将在下一篇文章中对最终的来源进行分析，并得出一个完整的公式。
  
  

喵帕斯和艾希