天龙八部 WG制作之超级详细找CALL写CALL.docx

1、天龙八部 WG制作之超级详细找CALL写CALL这个教程以一个找CALL的练习程序为例子。之所以不拿游戏，因为游戏找CALL时间长了，不适合做教程，而且本练习涵盖参数。我将说明为什么这么调用，为什么这么写！ 这个就是我们用到的程序，OK，打开他并且用OD附加进程并使其进入“运行”状态 好的，下面我没开始找CALL，首先说明一下，CTRL+F9这个是“运行到返回”。为什么要按这个按钮？-就我的理解，假设把程序比做很多层的一个盒子，而CALL就是我们要从盒子里拿出来的东西。 那么，如果我们想拿出来CALL，怎么办？当然是打开盒子，取出盒子，再打开盒子，取出盒子.而这个CTRL+F9就是这个打开盒子

2、到取出盒子的过程。运行到返回，顾名思义，就是运行到RET（返回）截止。 而这个RET也正是跳出本层的一个关键点。每一个RET都有可能是一层。所以这样也就解释了为什么有的时候按三下CTRL+F9和四下CTRL+F9的原因了。 好，说的就这些。下面LETS GO！ 我们首先下断点bp send然后回车。如果不确定自己是否成功的下了断点。可以在OD中按ALT+B来查看好的，这个就是我们下的断点了。始终就是断点有效，也可以暂停断点。选择一个断点，敲空格。这个断点就变成了“禁用”。这样就算暂停了断点。OK这里不再赘述，我们开始。 = 首先，我们来个HP药水试试！ 在这里选择吃药。然后OD 会断下！ 这里

3、是程序断下的地方，我们可以看到下方有 如下注释： SEND来自.说明这里是send函数被断开的地方。 继续，CTRL+F9我每一步都会记录下来，一点一点给新手 解释为什么！ 上图是我按下第一次CTRL+F9之后转到的RET。这里再顺便说一句。看到这里的RET 10了没有。这里是RET 10就是有4个参数的RET,一个参数占4个字节。那么按照这么说来应该是 RET 16才对啊。其实 这里的10是16进制的10，那么16=10（16进制）=4x4所以这里是RET 10。好，下面说正题：看到上面的CALL了没有。CALL WS2_32.当你看到这个的时候，你就可以毫不犹豫的再次按下CTRL+F9了，

4、说明你现在还在系统的范围内。还没有进入到程序。为什么系统跟程序不一样？因为程序是依托在WINDOWS平台运行的。那么如果程序要干什么事情，就要跟WINDOWS打声招呼。也就是SEND函数！程序跟系统说，我要做动作了，系统说批准，程序说我要喝药，系统说批准，程序说我去哪里喝药，系统说CALL！好的，这里的CALL就是我们需要的CA LL了。:-) 第二次CTRL+F9，这里的CALL还是差不多，还在系统 层内。我们继续！ OK，以上是第三次按CTRL+F9所看到的信息。 看到这里了吗，已经是程序层了。也就说这里很有可能就是我们需要的CALL了。OK。我们来测试一下 好 的，我们来看这一段 lew

5、ei2000提醒:以下几点解释有误,初学者略过,楼主还需深化汇编知识 看第一行：mov dword ptr fs:eax,edx -这里的意思是：将指针赋值到dword，后面有FS就是注释eax,edx其实就是将edx中的值复制到eax中，使eax和edx相等（由于版主的指正，这里要声明，此处的理解为自己的理解。并不是正规的解释方法，仅供参考而已）。 看第二行：push 入栈,入栈就是把一个数值放到寄存器中，其实跟mov是一样的，那么这里push到哪里了呢？因为第一行eax已经被占用，那么这里就应该是ebx。也就说这里是赋值EBX。 看第三行：lea eax,pword ptr ss:edp-

6、4。这里LEA指令指将操作结果保存到eax，好既然是eax我们就不管他了。至于是什么结果，我们一会看。 看第四行：CALL不解释。就是我们需要的东西。（但其实不是） 看第五行：ret 返回的意思。 好的，假设这段代码是我们需要的代码，那我们该怎么去表达它，在程序中如何去写？ 这里留个悬念，因为我事先测试过，这里不是我们需要的CALL，我就不说了。等找到正确CALL的时候我再讲解如何去写CALL。 好继 续CTRL+F9下图 看这里，跟上面一样，这个返回没用，我 们继续CTRL+F9。 好，这里又出现了一个CALL，那我们想想是不是这个呢？如何去调用这个CALL？ 首先，我们要测试一下它是不是一

7、个带参数的CALL，至于怎么测试呢？-靠，那就用程序CALL一下呗！但这里的CALL是个有参数的CALL。我们继续。 我们如何知道这个CALL调用了什么参数？试想一下，CALL调用参数，要在哪里看？当然是在CALL中看了，如何看？那就让我们去CALL那里了，如何去？-断点！（周杰伦唱的） 好，在上面CALL那里下断 点选择CALL，按F2 这里前面的地址变成了红色的。这样就算断点成功了，这里断了前面就不用断了，我们在ALT+B中删除以前的SEND断点。（Delete键删除） OK， 我们让程序恢复到运行状态！ 好，我们看到，测试程序中显示，使用了一个补血药品 。OK，我们继续按“吃血”！ 好的

8、，看到断点了没有，正好断在我们刚才下断点的地方。说明不管这个CALL正确与否，我们吃血的过程都要调用这个CALL，这样就离正确很接近了。 我们刚才说看CALL的参数，CALL的参数其实就是在调用CALL的时候所需要的运行环境，在什么条件下，CALL执行之后是吃血，什么情况下是吃蓝。 好的。我们现在利用到了寄存器。看寄存器中的提示，有两个红色，说明当我们调用CALL的时候，它使用了寄存器中的两个地址。那么这个就是CALL的 运行环境了，也就是说，只要在我们调用这个CALL的时候，寄存器EAX中有值00D51FE4和寄存器ECX中有值0042ABE4就可以运行。这里还有一个特殊 情况，这里我先卖个

9、关子。 这里也解释了上面的那个不是我们用到的那个CALL如何看参数！ 好，这里我们写一个小程序来调用CALL。 = 好，不管是不是这个CALL，我们先来测试一下 我是用delphi的，所以这里讲解delphi-这里我还要多一嘴，其实语言只是工具，只要学会了道理，就不在乎语言的问题了，其实在我们这个阶段，语言的区分仅仅是命令不同而已 我会把如何写的理论告诉给大家。让大家知道-花儿为什么这样红！o(_)o.哈哈 首先，我们要调用一个程序的CALL，需要干什么。当然是指定这个程序啦！如何指定？如果这里您不知道，建议您去句柄那里好好修炼一下。 Hwnd:=FindWindow(1,2)=这里的Hwnd

10、是个变量，为窗口句柄。FindWindow是一个找窗口句柄的命令，这里有两个参数，我用1和2代替。其中1在命令中应该是窗口类名。 2在这里应该是窗口标题。 GetWindowThreadProcessID(1,2)=这里的GetWindowThreadProcessID()也是个命令，是找窗口线程ID的一个命令，有两个参数。1代表窗口句柄，2代表赋值变量，这个变量就是我们 要把线程ID赋值给什么变量，可以这么写GetWindowThreadProcessID(Hwnd,ThreadID); OpenProcess(1,2,3)=这个命令是打开进程并返回进程ID，有三个参数，分别为参数类型，句柄

11、继承符，和线程ID.可以写为Pid:=OpenProcess(Process_all_access,false,ThreadID) Process_all_access就是打开进程的格式，我们这里使用全部格式就可以了。无需理解，这么写就好。 这里写好了，我们可以检测一下是否成功。 这里就是找线程ID了！下面写注入 过程注入函数 function TForm1.InsterGameFun(Hid:cardinal;FunName:pointer):cardinal; var 要注入线程的窗口句柄和临时存放的句柄 TmpHandle: THandle; ThreadID: Thandle; Thr

12、eadAdd:pointer; WriteCount: DWORD; begin ThreadAdd := VirtualAllocEx(Hid, nil, 128, MEM_COMMIT, PAGE_EXECUTE_READWRITE);/在目标进程建立内存空间 WriteProcessMemory(Hid, ThreadAdd,FunName, 128, WriteCount);/将要注入的过程写到上面建立的内存空间中 TmpHandle := CreateRemoteThread(Hid, nil, 0, ThreadAdd, nil, CREATE_SUSPENDED, ThreadI

13、D);/获得注入后过程的句柄ID result:=TmpHandle;/返回句柄ID end; 这里照抄也可以，反正就是这么写的，每步怎么个意思我也标示了。 注入也写了，窗口也获取了，剩下的就是写CALL了。 好的！我们看这个图片 记得我刚才说的EAX(00D51FE4)和ECX(0042ABE4)了吗？ 按照这里来说。只要我们写命令 pushed asm mov eax,$005D1FE4 mov ecx,$0042ABE4 call $00452E98 popad 一般这样的命令就可以了。 但是我们这么写的时候却没有生效。那么一定是哪里出错了。我们对比两个图 我们对比两个图的寄存器中的值。 我们发现EDX中，值在返回之后度没有变化。也就是说这里EDX也有可能是环境因素之一。而ECX前后却有变化，那ECX是不是环境呢？ 我们做如下测试。 procedure HP; /吃红 var Address:pointer; begin Address:=pointer($00452e98); asm pushad mov eax,$00D51FE4 mov ecx,$0042ABE4 mov edx,$00453028 call Address popad end;end; 我们这么写，测试一