游戏找CALL练习实例ONE-capfmud-ChinaUnix博客

散仙闪电

首页　| 　博文目录　| 　关于我

capfmud

博客访问： 241512
博文数量： 65
博客积分： 2758
博客等级：少校
技术积分： 725
用户组：普通用户
注册时间： 2006-02-25 00:23

文章分类

全部博文（65）

delphi（1）

网络控件（1）
C#（4）

工具箱-打印（0）

工具箱-组件（0）

工具箱-工具箱-数（0）

菜单和工具栏（0）

工具箱-容器（0）

工具箱-公共控件（4）
个人空间（1）

QQ相关（1）
电脑（2）

WindowsXP（1）

硬件（1）
游戏（41）

定式（1）

棋谱（0）

围棋（0）

游戏分析（1）

手机Java游戏（0）

辅助工具（1）

攻略（1）

脱壳（1）

基址（4）

Call（31）

辅助工具（1）

网页游戏（0）

单机游戏（0）

网络游戏（0）
未分配的博文（16）

文章存档

2011年（4）

2010年（1）

2009年（60）

我的朋友

ruanjwei

最近访客

推荐博文

游戏找CALL练习实例ONE

分类：

2009-11-19 15:22:36

作者：重楼
时间：2009.08.20

目标:游戏找CALL练习实例ONE

记:看这篇找CALL文章,并不是说要学会它的操作步骤,而是学会找步骤的原理,只有懂得原理,才算真正会了.不要因为模拟器的简单而忽略这篇文章,也不要因为曾经写过这个模拟器的挂而忽略这篇文章.希望这篇文章能给你带来帮助.

这是一位大牛做的模拟器器,今天就来找这个模拟器的CALL

用OD 加载模拟器

然后按F9 运行

下bp send 断点

P:为什么要下 send 断点?

*send 是微软提供的一个API 函数,可以用来发送数据包. 绝大部分游戏都是用这个函数来发包的,其他还有 WSASend sendto WSASendto == send对应的收包函数是 recv WSASend对应的收包函数是 WSARecv

下段后这里按 ALT+B 会显示已经下段的地址

*当你暂时不想断下来而又不想删掉就可以按空格来禁止.

断下来后,我们点下模拟器的加血按钮 OD立马就断了下来

*标题显示模块- ws2_32 表明我们还在系统领空
*游戏发送数据包是调用send函数发送的,掉用以后程序告诉系统我要发包了,然后系统就开发发送封包,这个时候断下来后我们就在系统发送完封包后.

按 CTRL+F9 返回

P:为什么要用 CTRL+F9 返回?而不是前进?

*程序是一层套着一层的,就像一个箱子里面包含一个箱子 ,而里面的箱子里又有一个箱子.而我们断的send 就是在最里面的箱子,所以我们需要返回到我们所需要的代码层.

我们来看下堆栈窗口

这里第一行是 CALL
第二行到第五行是 CALL的参数
写成函数就是 send(soket,data,datasize,flags)

这个就是系统send所需要的参数
DATA 这里存放着 send发送的封包内容
DATASIZE 表示封包的大小

从MSDN查看一下函数的参数我们会发现他的参数跟我们刚刚反汇编的一样.

*按照 __cdecl调用约定参数是从右边开始压入堆栈

继续返回

这里我们已经到了程序领空了 (标题显示模拟器,而没有显示ws2_32)
在这里 OD已经给我们标明了. 这是调用send 的汇编代码
因为这个模拟器并没有写接收返回封包的代码所以我们调用这个send 函数程序也是没有反应的

继续返回

这里有一个CALL 如果我们第一次找,我们并不能确认这个是否是我们要找的

P:如何确认这个是否是我们需要的CALL呢?

我们先断下来再说

继续返回

这里上面有一个 retn

*retn 表示一段程序的结束.

这里从 JMP 00403814 开始到下面的retn 代表这个是连续的一段代码

继续返回

这里我们又发现一个CALL

先断下来再说

在返回一层

这里也有一个CALL 也断下来

好了我们现在已经返回了6层找到了3个CALL

到底哪个是我们需要找的呢我们先来测试下我们找的

把 send 断点删了暂时没用了

按下加血我们发现所有断点都会断, 这个时候我们发现第二个CALL 附近有 "血"这种文本

当然一般的除了喊话CALL 以外不会有很明确的数值当做依据这个时候就要靠你的经验去猜了.

我们在点下吃蓝发现只断下第一个. 好了,第一个先不要管了.为啥?猜的...

好了我们来看看第二个CALL

mov edx,00453028
call 00452E98
retn

*要写一个CALL,我们就要模拟出他所需要的寄存器,还有堆栈的环境

P:如果看一个CALL所需要的寄存器?

我们进入 call 00452E98 的内部

选中 call 00452E98 那行按回车就会跳到下面

00452E98 /$ 55 push ebp
00452E99 |. 8BEC mov ebp, esp
00452E9B |. 83C4 F8 add esp, -8
00452E9E |. 53 push ebx
00452E9F |. 8955 FC mov dword ptr [ebp-4], edx
00452EA2 |. 8BD8 mov ebx, eax
00452EA4 |. 8B45 FC mov eax, dword ptr [ebp-4]
00452EA7 |. E8 1414FBFF call 004042C0
00452EAC |. 33C0 xor eax, eax
00452EAE |. 55 push ebp
00452EAF |. 68 7E2F4500 push 00452F7E
00452EB4 |. 64:FF30 push dword ptr fs:[eax]
00452EB7 |. 64:8920 mov dword ptr fs:[eax], esp
00452EBA |. 8B45 FC mov eax, dword ptr [ebp-4]
00452EBD |. BA 942F4500 mov edx, 00452F94
00452EC2 |. E8 5513FBFF call 0040421C

00452E98 /$ 55 push ebp
00452E99 |. 8BEC mov ebp, esp
00452E9B |. 83C4 F8 add esp, -8
00452E9E |. 53 push ebx

这里是保存堆栈环境我们先不管他

00452E9F |. 8955 FC mov dword ptr [ebp-4], edx

将 EDX 保存到 [EBP-4]
我们来找下 EDX的值

这段汇编代码前面没有给 EDX赋值我们返回上一层按小键盘 -

上一层

mov edx,00453028

这句代码的意思是将 453028赋值给EDX
也就是说EDX=00453028

找到EDX 的值后继续往下面找

00452EA2 |. 8BD8 mov ebx, eax

这里需要EAX的值，但是我们找了这一层和上一层并没有发现有给EAX赋值的代码

我们这里先直接给EAX赋值

其他没有了

好了我们现在可以确认了这个CALL 调用了 EDX 和EAX的寄存器的值

这个CALL的写法就是

mov edx,00453028
mov eax,00991FA8
call 00452E98

我们来测试下

CALL成功了

但是,我们拿到另外一台电脑发现居然不能用了? 调试了下发现 EAX的值跟刚刚的不一样~

P:如何取到 EAX的固定值呢?

答案很简单用CE搜

看到那个绿色的值了么那个就是 EAX的基址 ,无论 EAX的值怎么变都可以在这个地址读取到真正的值

代码如下

mov edx,00453028
mov eax,456d68
mov eax,[eax]
call 00452E98

好了现在可以再任意一台电脑上运行了

=======================================================

好了先不管这个CALL

我们现在来找下 EAX的值。

在 call 00452E98 下断按下加血 OD 断下来了

然后我们按 CTRL+F9 返回

好了到了这里

mov edx,ebx
mov eax,[ebx+124]
call [ebx+120]

这个时候我们发现 EAX的值

EAX=[ebx+124]

我们发现 CALL地址并不是是直接的地址。

在这个CALL 下断点下加血按钮

我们发现 [EBX+124]=[0099493C]=00991FA8
EAX=991FA8
刚刚我们找过 EAX的基址了

[ebx+120]=[00994938]=00453014

这里的CALL地址写成代码是

mov eax,456d68
mov eax,[eax]
call 453014

CALL成功了`

P:为什么2个不同地址的CALL都会成功呢?

经过不断测试（如何测试？点击不同的按钮看看CALL的地址）

发现不同按钮断下来的地址都是不同的。

补魔的地址

冰系的地址

==========

我们来测试下第三个CALL

mov edx,[ebx+214]
mov [eax+24c],edx
mov eax,ebx
call 4324d8

调试过程中
[EBX+214]=0 那么 edx的值 =0

[EAX+24C]=EDX=0
EAX=00991FA8

EAX=EBX=994818
CALL 4324d8

寄存器的值都搞清楚了然后我们看看 CALL还调用了哪个寄存器

跟进CALL (按 F7 进入CALL )

004324D8 /$ 53 push ebx
004324D9 |. 8BD8 mov ebx, eax
004324DB |. 66:83BB 22010>cmp word ptr [ebx+122], 0
004324E3 |. 74 2D je short 00432512
004324E5 |. 8BC3 mov eax, ebx
004324E7 |. 8B10 mov edx, dword ptr [eax]
004324E9 |. FF52 3C call dword ptr [edx+3C]
004324EC |. 85C0 test eax, eax
004324EE |. 74 22 je short 00432512
004324F0 |. 8BC3 mov eax, ebx
004324F2 |. 8B10 mov edx, dword ptr [eax]

004324E5 |. 8BC3 mov eax, ebx
这里有一行调用了 EBX 我们往上找找发现有给EBX 赋值的代码那么我们就不必理会了

004324E7 |. 8B10 mov edx, dword ptr [eax]
这里调用了 EAX 在上一层有给EAX赋值的代码

下面就没了

好了用代码注入器写CALL

mov edx,[ebx+214] ,[EBX+214]=0

那么第一句就是 mov edx,0

mov [eax+24c],edx ,edx的值 =0 EAX=00991FA8
那么第二句就是 MOV [EAX+24C],0 但是注入器不通过这个时候我们换一种写法
首先给 EAX赋值 mov eax,991FA8 这里我们刚刚找过这个基址 456d68 是EAX的基址

首先放入基址的值 mov eax,456d68
然后在读取基址 mov eax,[eax]
然后加上偏移 24C add [eax],24c

地址写好后我们把 EDX放到地址里去 mov [eax],edx

mov eax,ebx第三句 EBX=994818
因为 CALL没有调用EBX 所以我们不必给ebx 赋值
mov eax,994818

call 4324d8

放到一起那么就是

mov edx,0
mov eax,456d68
mov eax,[eax]
add eax,24c
mov [eax],edx
mov eax,994818
call 4324d8

好了 CALL成功了~

经过调试发现不同的按钮他的EBX里的值也不一样

好了我们发现这也可以调用

提问:

P:为什么3个不同地址的CALL都会成功呢?

总结

*retn 表示一段程序的结束
*send 是微软提供的一个API 函数,可以用来发送数据包. 绝大部分游戏都是用这个函数来发包的,其他还有 WSASend sendto WSASendto == send对应的收包函数是 recv WSASend对应的收包函数是 WSARecv
*要写一个CALL,我们就要模拟出他所需要的寄存器,还有堆栈的环境

阅读(1296) | 评论(0) | 转发(0) |

上一篇：基址的寻找

下一篇：send和recv调用与实现 CALL篇二

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6