天龙八部 WG制作之超级详细找CALL写CALL.docx
《天龙八部 WG制作之超级详细找CALL写CALL.docx》由会员分享,可在线阅读,更多相关《天龙八部 WG制作之超级详细找CALL写CALL.docx(12页珍藏版)》请在冰豆网上搜索。
天龙八部WG制作之超级详细找CALL写CALL
这个教程以一个找CALL的练习程序为例子。
之所以不拿游戏,因为游戏找CALL时间长了,不适合做教程,而且本练习涵盖参数。
我将说明为什么这么调用,为什么这么写!
这个就是我们用到的程序,OK,打开他并且用OD附加进程
并使其进入“运行”状态
好的,下面我没开始找CALL,首先说明一下,CTRL+F9这个是“运行到返回”。
为什么要按这个按钮?
----就我的理解,假设把程序比做很多层的一个盒子,而CALL就是我们要从盒子里拿出来的东西。
那么,如果我们想拿出来CALL,怎么办?
当然是打开盒子,取出盒子,再打开盒子,取出盒子.....而这个CTRL+F9就是这个打开盒子到取出盒子的过程。
运行到返回,顾名思义,就是运行到RET(返回)截止。
而这个RET也正是跳出本层的一个关键点。
每一个RET都有可能是一层。
所以这样也就解释了为什么有的时候按三下CTRL+F9和四下CTRL+F9的原因了。
好,说的就这些。
下面LET'SGO!
我们首先下断点bpsend
然后回车。
如果不确定自己是否成功的下了断点。
可以在OD中按ALT+B来查看
好的,这个就是我们下的断点了。
始终就是断点有效,也可以暂停断点。
选择一个断点,敲空格。
这个断点就变成了“禁用”。
这样就算暂停了断点。
OK这里不再赘述,我们开始。
==============================================================================================================
首先,我们来个HP药水 试试!
在这里选择吃药。
然后OD会断下!
这里是程序断下的地方,我们可以看到下方有如下注释:
SEND来自.....说明这里是send函数被断开的地方。
继续,CTRL+F9我每一步都会记录下来,一点一点给新手解释为什么!
上图是我按下第一次CTRL+F9之后转到的RET。
这里再顺便说一句。
看到这里的RET10了没有。
这里是RET10就是有4个参数的RET,一个参数占4个字节。
那么按照这么说来应该是RET16才对啊。
其实
这里的10是16进制的10,那么16=10(16进制)=4x4所以这里是RET10。
好,下面说正题:
看到上面的CALL了没有。
CALLWS2_32....当你看到这个的时候,你就可以毫不犹豫的再次按下CTRL+F9了,说明你现在还在系统的范围内。
还没有进入到程序。
为什么系统跟程序不一样?
因为程序是依托在WINDOWS平台运行的。
那么如果程序要干什么事情,就要跟WINDOWS打声招呼。
也就是SEND函数!
程序跟系统说,我要做动作了,系统说批准,程序说我要喝药,系统说批准,程序说我去哪里喝药,系统说CALL!
好的,这里的CALL就是我们需要的CALL了。
:
-)
第二次CTRL+F9,这里的CALL还是差不多,还在系统层内。
我们继续!
OK,以上是第三次按CTRL+F9所看到的信息。
看到这里了吗,已经是程序层了。
也就说这里很有可能就是我们需要的CALL了。
OK。
我们来测试一下
好的,我们来看这一段
lewei2000提醒:
以下几点解释有误,初学者略过,楼主还需深化汇编知识
看第一行:
movdwordptrfs:
[eax],edx-------这里的意思是:
将指针赋值到dword,后面有FS就是注释[eax],edx其实就是将edx中的值复制到eax中,使eax和edx相等(由于版主的指正,这里要声明,此处的理解为自己的理解。
并不是正规的解释方法,仅供参考而已)。
看第二行:
push入栈,入栈就是把一个数值放到寄存器中,其实跟mov是一样的,那么这里push到哪里了呢?
因为第一行eax已经被占用,那么这里就应该是ebx。
也就说这里是赋值EBX。
看第三行:
leaeax,pwordptrss:
[edp-4]。
这里LEA指令指将操作结果保存到eax,好既然是eax我们就不管他了。
至于是什么结果,我们一会看。
看第四行:
CALL不解释。
就是我们需要的东西。
(但其实不是)
看第五行:
ret返回的意思。
好的,假设这段代码是我们需要的代码,那我们该怎么去表达它,在程序中如何去写?
这里留个悬念,因为我事先测试过,这里不是我们需要的CALL,我就不说了。
等找到正确CALL的时候我再讲解如何去写CALL。
好继续CTRL+F9下图
看这里,跟上面一样,这个返回没用,我们继续CTRL+F9。
好,这里又出现了一个CALL,那我们想想是不是这个呢?
如何去调用这个CALL?
首先,我们要测试一下它是不是一个带参数的CALL,至于怎么测试呢?
---靠,那就用程序CALL一下呗!
但这里的CALL是个有参数的CALL。
我们继续。
我们如何知道这个CALL调用了什么参数?
试想一下,CALL调用参数,要在哪里看?
当然是在CALL中看了,如何看?
那就让我们去CALL那里了,如何去?
--断点~!
(周杰伦唱的)
好,在上面CALL那里下断点~选择CALL,按F2
这里前面的地址变成了红色的。
这样就算断点成功了,这里断了前面就不用断了,我们在ALT+B中删除以前的SEND断点。
(Delete键删除)
OK,我们让程序恢复到运行状态!
好,我们看到,测试程序中显示,使用了一个补血药品。
OK,我们继续按“吃血”!
好的,看到断点了没有,正好断在我们刚才下断点的地方。
说明不管这个CALL正确与否,我们吃血的过程都要调用这个CALL,这样就离正确很接近了。
我们刚才说看CALL的参数,CALL的参数其实就是在调用CALL的时候所需要的运行环境,在什么条件下,CALL执行之后是吃血,什么情况下是吃蓝。
好的。
我们现在利用到了寄存器。
看寄存器中的提示,有两个红色,说明当我们调用CALL的时候,它使用了寄存器中的两个地址。
那么这个就是CALL的
运行环境了,也就是说,只要在我们调用这个CALL的时候,寄存器EAX中有值00D51FE4和寄存器ECX中有值0042ABE4就可以运行。
这里还有一个特殊
情况,这里我先卖个关子。
这里也解释了上面的那个不是我们用到的那个CALL如何看参数!
好,这里我们写一个小程序来调用CALL。
===========================================================================================
好,不管是不是这个CALL,我们先来测试一下
我是用delphi的,所以这里讲解delphi-----这里我还要多一嘴,其实语言只是工具,只要学会了道理,就不在乎语言的问题了,其实在我们这个阶段,语言的区分仅仅是命令不同而已
我会把如何写的理论告诉给大家。
让大家知道------花儿为什么这样红!
o(∩_∩)o...哈哈
首先,我们要调用一个程序的CALL,需要干什么。
当然是指定这个程序啦!
如何指定?
如果这里您不知道,建议您去句柄那里好好修炼一下。
Hwnd:
=FindWindow('1','2')======这里的Hwnd是个变量,为窗口句柄。
FindWindow是一个找窗口句柄的命令,这里有两个参数,我用1和2代替。
其中1在命令中应该是窗口类名。
2在这里应该是窗口标题。
GetWindowThreadProcessID(1,2)=这里的GetWindowThreadProcessID()也是个命令,是找窗口线程ID的一个命令,有两个参数。
1代表窗口句柄,2代表赋值变量,这个变量就是我们
要把线程ID赋值给什么变量,可以这么写GetWindowThreadProcessID(Hwnd,@ThreadID);
OpenProcess(1,2,3)===========这个命令是打开进程并返回进程ID,有三个参数,分别为参数类型,句柄继承符,和线程ID.可以写为Pid:
=OpenProcess(Process_all_access,false,ThreadID)
Process_all_access就是打开进程的格式,我们这里使用全部格式就可以了。
无需理解,这么写就好。
这里写好 了,我们可以检测一下是否成功。
这里就是找线程ID了!
下面写注入
过程注入函数
functionTForm1.InsterGameFun(Hid:
cardinal;FunName:
pointer):
cardinal;
var
{要注入线程的窗口句柄和临时存放的句柄}
TmpHandle:
THandle;
ThreadID:
Thandle;
ThreadAdd:
pointer;
WriteCount:
DWORD;
begin
ThreadAdd:
=VirtualAllocEx(Hid,nil,128,MEM_COMMIT,PAGE_EXECUTE_READWRITE);//在目标进程建立内存空间
WriteProcessMemory(Hid,ThreadAdd,FunName,128,WriteCount);//将要注入的过程写到上面建立的内存空间中
TmpHandle:
=CreateRemoteThread(Hid,nil,0,ThreadAdd,nil,CREATE_SUSPENDED,ThreadID);//获得注入后过程的句柄ID
result:
=TmpHandle;//返回句柄ID
end;
这里照抄也可以,反正就是这么写的,每步怎么个意思我也标示了。
注入也写了,窗口也获取了,剩下的就是写CALL了。
好的!
我们看这个图片
记得我刚才说的EAX(00D51FE4)和ECX(0042ABE4)了吗?
按照这里来说。
只要我们写命令
pushed
asm
moveax,$005D1FE4
movecx,$0042ABE4
call$00452E98
popad
一般这样的命令就可以了。
但是我们这么写的时候却没有生效。
那么一定是哪里出错了。
我们对比两个图
我们对比两个图的寄存器中的值。
我们发现EDX中,值在返回之后度没有变化。
也就是说这里EDX也有可能是环境因素之一。
而ECX前后却有变化,那ECX是不是环境呢?
我们做如下测试。
procedureHP;//吃红
var
Address:
pointer;
begin
Address:
=pointer($00452e98);
asm
pushad
moveax,$00D51FE4
movecx,$0042ABE4
movedx,$00453028
callAddress
popad
end;
end;
我们这么写,测试一
升级会员 