说说找CALL的原理(转)

　我以前写过几个挂，不过都是封包的，也懂一些逆向，但没有写过这种靠调用游戏函数的外挂。来到这里一看，大家都喜欢这样的，那我也来说说我的想法吧。
　　看过这里有的大大是断下send后，去找调用send的CALL，找到这个CALL再找上一次的CALL，这样去找关键CALL，但是，有的游戏这样是找不来的，所以，如果有的游戏不能这样找回去，那怎么办呢，这就要先说说原理了。
　　要说找CALL的原理，我们应该想想游戏的运行机制。也就是说游戏的控制方式是怎么样的。
　　不说费话，其实大多数的游戏都是这样的，来个买药的例子吧：
　　点击买药后：
　　1、客户端产生一个买药行为 并调用买物品的过程，如：BuyGoods(s:string,n:integer);　//参数s为物品种类 n为数量
        2、这个行为会产生一个发送给服务器的数据信息　MakeInfoString;
　　　比如：36 00 01 .........
　　3、数据出来要进行一次或N次的加密。
　　4、加密后通过send或WSASend函数将这个信息发给服务器处理。
　　5、等待服务器处理返回。
　　6、服务器返回购买成功的信息。
　　7、客户端响应这个信息，并调用本地动作行为。
　　这样，基本上就构成了游戏的一般的控制方式。
　　写出程序大概可能为：
主程序
....
....
BuyGoods(LifeMedicine,10);  //行为产生后调用买物品过程
....
....
主程序

procedure BuyGoods(s:string,n:integer);  //买物品的过程
begin
  send(Encrypt(MakeInfoString(s,n)));
end;
当然写法也可以是：
MakeInfoString;
Encrypt;
send;

不管怎么样方法都是差不多的。
　　了解了程序的大至写法，那么我们逆向起来就有个思路了：
    bp send
        返回向回找，先找到Encrypt，再向回找，能找到MakeInfoString（也就是找到明码部分），再向上找，就是调用这些东西的BuyGoods(s:string,n:integer)了。

　　我来找一个游戏说明一下吧，比如说有个什么名状的游戏。
　　这个游戏有个出征和休息待卫的功能，也就是放出和休息宝宝了。就拿这个CALL来讲吧。
　　这个游戏我用一般的思路往回找无法找出来这个出征的CALL，别的CALL没试，主要用是讲个例子。那么我就用另一个方法：
　　1，我先下bp send，返回看到这里，不用说就是send函数了。
　　　　　0069FFBF  |.  E8 82A11000  call    <jmp.&WS2_32.#19>
　　,2，给send的BUF区下硬键访问断点，来到这里，看出是这里向Send函数的BUF区放数据的。
　　　　　0069FB43  |.  F3:A5        rep    movs dword ptr es:[edi], dword ptr [e>; |
　　3，给esi下断分析，发现加密函数。
　　　　　0069FB64  |.  E8 67060000  call    006A01D0                ; \封包加密函数
　　4，好，我们在这个加密函数下个断。然后点击“出征”，断下来后执行到返回。可以看到调用它的CALL。
　　　　　0069DD14  .  E8 471D0000  call    0069FA60
　　5，下断，再往回找，看到上一级的调用CALL。
　　　　　0069DEFC  |.  E8 BFFDFFFF  call    0069DCC0
　　6，下断，再往回找。
　　　　　006DBDFB  |.  FF50 0C      call    [eax+C]              
　　7，下断，再找。
　　　　　0065CB89  |.  8B4D 08      mov    ecx, [ebp+8]
　　　　　0065CB8C  |.  33C0          xor    eax, eax
　　　　　0065CB8E  |.  66:8B46 21    mov    ax, [esi+21]
　　　　　0065CB92  |.  6A 32        push    32                            ; /Arg3 = 00000032
　　　　　0065CB94  |.  50            push    eax                            ; |Arg2
　　　　　0065CB95  |.  51            push    ecx                            ; |Arg1
　　　　　0065CB96  |.  8D8D E4FBFFFF lea    ecx, [ebp-41C]                ; |
　　　　　0065CB9C  |.  C745 FC 00000>mov    dword ptr [ebp-4], 0          ; |
　　　　　0065CBA3  |.  E8 88F10700  call    006DBD30                      ; \TheWarlo.006DBD30　　　　
　　　8，再放上，是这里，看到红色这个CALL了吗，它就是“出征”的CALL了。

　　　　004101B2 |. 83F8 14 cmp eax, 14
004101B5 |. 8B45 08 mov eax, [ebp+8]
004101B8 |. 73 06 jnb short 004101C0
004101BA |. 83F8 01 cmp eax, 1
004101BD |. 7E 01 jle short 004101C0
004101BF |. 48 dec eax
004101C0 |> 8B4486 04 mov eax, [esi+eax*4+4]
004101C4 |. B9 58E88000 mov ecx, 0080E858
004101C9 |. 50 push eax ; /Arg1
004101CA |. E8 81C82400 call 0065CA50 ; \TheWarlo.0065CA50
004101CF |. 5E pop esi
004101D0 |. 5D pop ebp
004101D1 \. C2 0400 retn 4
　　　9，再上就是GuiDll的领空了。
　　　这两个都可以，
　　给大家这个例子，是想告诉大家，什么是找CALL的原理，我的意思是如果你都分析不清楚一个游戏或程序的运行方法，那你无论如何是不可能找到这些的。当然，如果有别人给的一些实际操作的例子除外。
　　好了，也差不了多少。也不知道我说的这些对大家有没有用，欢迎大家批评指正。