Ich zeige dir mal was ich weiß. Als beispiel ich möchte den Text ganz am anfang in der ChatBox beim start von Silkroad ändern. Dazu suche ich in der media.pk2 den text um genau zu sein befinden sich glaube ich fast alle texte in "textuisystem.txt" dort findest vor diesem text ein "UIIT_STT_STARTING_MSG". Der Client arbeitet mit diesem String und lädt durch diesen String in der Pk2 datei den Txt und zeigt ihn somit an. Da wir ihn ändern wollen müssen wir nach "UIIT_STT_STARTING_MSG" in Ollydbg unter strings suchen. Falls du dir sicher gehen willst ändere diese Adresse von "UIIT_STT_STARTING_MSG" auf einen anderen Unique-String und lade Silkroad dann wird dir dort was anderes angezeigt. Dort finden wir diese stelle:
[cs]
0077F5E3 E8 F83A0100 CALL sro_clie.007930E0
0077F5E8 68 3C10D900 PUSH sro_clie.00D9103C ; UNICODE "UIIT_STT_STARTING_MSG"
0077F5ED B9 4883EB00 MOV ECX,sro_clie.00EB8348
0077F5F2 E8 89B41300 CALL sro_clie.008BAA80
0077F5F7 8378 18 08 CMP DWORD PTR DS:[EAX+18],8
0077F5FB 72 05 JB SHORT sro_clie.0077F602
0077F5FD 8B40 04 MOV EAX,DWORD PTR DS:[EAX+4]
0077F600 EB 03 JMP SHORT sro_clie.0077F605
0077F602 83C0 04 ADD EAX,4
0077F605 50 PUSH EAX
0077F606 6A 01 PUSH 1
0077F608 68 9BC9DBFF PUSH FFDBC99B
0077F60D 68 FF000000 PUSH 0FF
0077F612 57 PUSH EDI
0077F613 E8 58BCFEFF CALL sro_clie.0076B270
0077F618 83C4 14 ADD ESP,14
0077F61B 6A FF PUSH -1
0077F61D 8BCF MOV ECX,EDI
[/cs]
Wobei dieser Teil am interessantesten ist:
[cs]
0077F605 50 PUSH EAX
0077F606 6A 01 PUSH 1
0077F608 68 9BC9DBFF PUSH FFDBC99B
0077F60D 68 FF000000 PUSH 0FF
0077F612 57 PUSH EDI
[/cs]
Wenn ich jetzt etwas falsch sage korrigiert mich bitte.
Push EAX sollte den text enthalten und PUSH FFDBC99B müsste die Farbe sein und PUSH 1 ist die textgröße vermutlich. Was genau die hier machen weiß ich auch nicht:
0077F60D 68 FF000000 PUSH 0FF
0077F612 57 PUSH EDI
jedoch solltest du wenn diese Funktion Callst und in einem CodeCave nachbaust dir einen anderen LÄNGEREN text anzeigen lassen könnent.
Versuch es über VirtualAllocEx. Hier ein gutes Tut von Lolkop dazu http://www.stealthex.org/site/…client-internal-functions