Chinaunix首页 | 论坛 | 博客
  • 博客访问: 249805
  • 博文数量: 65
  • 博客积分: 2758
  • 博客等级: 少校
  • 技术积分: 725
  • 用 户 组: 普通用户
  • 注册时间: 2006-02-25 00:23
文章分类

全部博文(65)

文章存档

2011年(4)

2010年(1)

2009年(60)

我的朋友

分类: 系统运维

2009-11-12 16:15:48

我以前写过几个挂,不过都是封包的,也懂一些逆向,但没有写过这种靠调用游戏函数的外挂。来到这里一看,大家都喜欢这样的,那我也来说说我的想法吧。
  看过这里有的大大是断下send后,去找调用send的CALL,找到这个CALL再找上一次的CALL,这样去找关键CALL,但是,有的游戏这样是找不来的,所以,如果有的游戏不能这样找回去,那怎么办呢,这就要先说说原理了。
  要说找CALL的原理,我们应该想想游戏的运行机制。也就是说游戏的控制方式是怎么样的。
  不说费话,其实大多数的游戏都是这样的,来个买药的例子吧:
  点击买药后:
  1、客户端产生一个买药行为 并调用买物品的过程,如:BuyGoods(s:string,n:integer); //参数s为物品种类 n为数量
        2、这个行为会产生一个发送给服务器的数据信息 MakeInfoString;
   比如:36 00 01 .........
  3、数据出来要进行一次或N次的加密。
  4、加密后通过send或WSASend函数将这个信息发给服务器处理。
  5、等待服务器处理返回。
  6、服务器返回购买成功的信息。
  7、客户端响应这个信息,并调用本地动作行为。
  这样,基本上就构成了游戏的一般的控制方式。
  写出程序大概可能为:
主程序
....
....
BuyGoods(LifeMedicine,10);  //行为产生后调用买物品过程
....
....
主程序

procedure BuyGoods(s:string,n:integer);  //买物品的过程
begin
  send(Encrypt(MakeInfoString(s,n)));
end;
当然写法也可以是:
MakeInfoString;
Encrypt;
send;

不管怎么样方法都是差不多的。
  了解了程序的大至写法,那么我们逆向起来就有个思路了:
    bp send
        返回向回找,先找到Encrypt,再向回找,能找到MakeInfoString(也就是找到明码部分),再向上找,就是调用这些东西的BuyGoods(s:string,n:integer)了。

  我来找一个游戏说明一下吧,比如说有个什么名状的游戏。
  这个游戏有个出征和休息待卫的功能,也就是放出和休息宝宝了。就拿这个CALL来讲吧。
  这个游戏我用一般的思路往回找无法找出来这个出征的CALL,别的CALL没试,主要用是讲个例子。那么我就用另一个方法:
  1,我先下bp send,返回看到这里,不用说就是send函数了。
     0069FFBF  |.  E8 82A11000  call   
  ,2,给send的BUF区下硬键访问断点,来到这里,看出是这里向Send函数的BUF区放数据的。
     0069FB43  |.  F3:A5        rep    movs dword ptr es:[edi], dword ptr [e>; |
  3,给esi下断分析,发现加密函数。
     0069FB64  |.  E8 67060000  call    006A01D0                ; \封包加密函数
  4,好,我们在这个加密函数下个断。然后点击“出征”,断下来后执行到返回。可以看到调用它的CALL。
     0069DD14  .  E8 471D0000  call    0069FA60
  5,下断,再往回找,看到上一级的调用CALL。
     0069DEFC  |.  E8 BFFDFFFF  call    0069DCC0
  6,下断,再往回找。
     006DBDFB  |.  FF50 0C      call    [eax+C]              
  7,下断,再找。
     0065CB89  |.  8B4D 08      mov    ecx, [ebp+8]
     0065CB8C  |.  33C0          xor    eax, eax
     0065CB8E  |.  66:8B46 21    mov    ax, [esi+21]
     0065CB92  |.  6A 32        push    32                            ; /Arg3 = 00000032
     0065CB94  |.  50            push    eax                            ; |Arg2
     0065CB95  |.  51            push    ecx                            ; |Arg1
     0065CB96  |.  8D8D E4FBFFFF lea    ecx, [ebp-41C]                ; |
     0065CB9C  |.  C745 FC 00000>mov    dword ptr [ebp-4], 0          ; |
     0065CBA3  |.  E8 88F10700  call    006DBD30                      ; \TheWarlo.006DBD30    
   8,再放上,是这里,看到红色这个CALL了吗,它就是“出征”的CALL了。

    004101B2 |. 83F8 14 cmp eax, 14
004101B5 |. 8B45 08 mov eax, [ebp+8]
004101B8 |. 73 06 jnb short 004101C0
004101BA |. 83F8 01 cmp eax, 1
004101BD |. 7E 01 jle short 004101C0
004101BF |. 48 dec eax
004101C0 |> 8B4486 04 mov eax, [esi+eax*4+4]
004101C4 |. B9 58E88000 mov ecx, 0080E858
004101C9 |. 50 push eax ; /Arg1
004101CA |. E8 81C82400 call 0065CA50 ; \TheWarlo.0065CA50
004101CF |. 5E pop esi
004101D0 |. 5D pop ebp
004101D1 \. C2 0400 retn 4
   9,再上就是GuiDll的领空了。
   这两个都可以,
  给大家这个例子,是想告诉大家,什么是找CALL的原理,我的意思是如果你都分析不清楚一个游戏或程序的运行方法,那你无论如何是不可能找到这些的。当然,如果有别人给的一些实际操作的例子除外。
  好了,也差不了多少。也不知道我说的这些对大家有没有用,欢迎大家批评指正。
阅读(1570) | 评论(0) | 转发(0) |
0

上一篇:天龙脱壳

下一篇:找call的几种方法

给主人留下些什么吧!~~