zoukankan      html  css  js  c++  java
  • 超级详细找CALL写CALL教程

    首先说明,这个教程以一个找CALL的练习程序为例子。之所以不拿游戏,因为游戏找CALL时间长了,不适合做教程,而且本练习涵盖参数。我将说明为什么这么调用,为什么这么写! 
    好的。偶们好的,偶们这节课需要用到的程序为【wygailf】制作的一个找CALL测试程序。首先感谢他! 
     
    这个就是我们用到的程序,OK,打开他并且用OD附加进程! 

    并使其进入“运行”状态 
    好的,下面我没开始找CALL,首先说明一下,CTRL+F9这个是“运行到返回”。为什么要按这个按钮?----就我的理解,假设把程序比做很多层的一个盒子,而CALL就是我们要从盒子里拿出来的东西。 
    那么,如果我们想拿出来CALL,怎么办?当然是打开盒子,取出盒子,再打开盒子,取出盒子.....而这个CTRL+F9就是这个打开盒子到取出盒子的过程。运行到返回,顾名思义,就是运行到RET(返回)截止。 
    而这个RET也正是跳出本层的一个关键点。每一个RET都有可能是一层。所以这样也就解释了为什么有的时候按三下CTRL+F9和四下CTRL+F9的原因了。 
     
    好,说的就这些。下面LET'S GO! 
     
    我们首先下断点bp send。 

    然后回车。如果不确定自己是否成功的下了断点。可以在OD中按ALT+B来查看 

     好的,这个就是我们下的断点了。始终就是断点有效,也可以暂停断点。选择一个断点,敲空格。这个断点就变成了“禁用”。这样就算暂停了断点。OK这里不再赘述,我们开始。 
     ======================================================== 
     首先,我们来个HP药水试试!

     在这里选择吃药。然后OD会断下。(这里还要说一下,这个软件原来的教程是错误的~~望改正)! 

     这里是程序断下的地方,我们可以看到下方有如下注释: 

     SEND来自.....说明这里是send函数被断开的地方。 
     
    继续,CTRL+F9我每一步都会记录下来,一点一点给新手解释为什么! 
    [转贴]超级详细找CALL写CALL教程 - 李逍遥 - Moodskys Notepad
     
    上图是我按下第一次CTRL+F9之后转到的RET。这里再顺便说一句。看到这里的RET 10了没有。这里是RET 10就是有4个参数的RET,一个参数占4个字节。那么按照这么说来应该是 RET 16才对啊。其实 
    这里的10是16进制的10,那么16=10(16进制)=4x4所以这里是RET 10。好,下面说正题:看到上面的CALL了没有。CALL WS2_32....当你看到这个的时候,你就可以毫不犹豫的再次按下CTRL+F9了,说明你现在还在系统的范围内。还没有进入到程序。为什么系统跟程序不一样?因为程序是依托在WINDOWS平台运行的。那么如果程序要干什么事情,就要跟WINDOWS打声招呼。也就是SEND函数!程序跟系统说,我要做动作了,系统说批准,程序说我要喝药,系统说批准,程序说我去哪里喝药,系统说CALL!好的,这里的CALL就是我们需要的CALL了。:-) 
    [转贴]超级详细找CALL写CALL教程 - 李逍遥 - Moodskys Notepad
     
    第二次CTRL+F9,这里的CALL还是差不多,还在系统层内。我们继续! 
    [转贴]超级详细找CALL写CALL教程 - 李逍遥 - Moodskys Notepad
     
    OK,以上是第三次按CTRL+F9所看到的信息。 
    看到这里了吗,已经是程序层了。也就说这里很有可能就是我们需要的CALL了。OK。我们来测试一下 
     
    好的,我们来看这一段 
    [转贴]超级详细找CALL写CALL教程 - 李逍遥 - Moodskys Notepad
     
    看第一行:mov dword ptr fs:[eax],edx -------这里的意思是:将指针赋值到dword,后面有FS就是注释[eax],edx其实就是将edx中的值复制到eax中,使eax和edx相等。 
    看第二行:push 入栈,入栈就是把一个数值放到寄存器中,其实跟mov是一样的,那么这里push到哪里了呢?因为第一行eax已经被占用,那么这里就应该是ebx。也就说这里是赋值EBX。 
    看第三行:lea eax,pword ptr ss:[edp-4]。这里LEA指令指将操作结果保存到eax,好既然是eax我们就不管他了。至于是什么结果,我们一会看。 
    看第四行:CALL不解释。就是我们需要的东西。(但其实不是) 
    看第五行:ret 返回的意思。 
    好的,假设这段代码是我们需要的代码,那我们该怎么去表达它,在程序中如何去写? 
    这里留个悬念,因为我事先测试过,这里不是我们需要的CALL,我就不说了。等找到正确CALL的时候我再讲解如何去写CALL。 
    好继续CTRL+F9下图 
    [转贴]超级详细找CALL写CALL教程 - 李逍遥 - Moodskys Notepad
     
    看这里,跟上面一样,这个返回没用,我们继续CTRL+F9。 
    [转贴]超级详细找CALL写CALL教程 - 李逍遥 - Moodskys Notepad
     
    好,这里又出现了一个CALL,那我们想想是不是这个呢?如何去调用这个CALL? 
    首先,我们要测试一下它是不是一个带参数的CALL,至于怎么测试呢?---靠,那就用程序CALL一下呗!但这里的CALL是个有参数的CALL。我们继续。 
    我们如何知道这个CALL调用了什么参数?试想一下,CALL调用参数,要在哪里看?当然是在CALL中看了,如何看?那就让我们去CALL那里了,如何去?--断点~!(周杰伦唱的) 
    好,在上面CALL那里下断点~选择CALL,按F2 
    [转贴]超级详细找CALL写CALL教程 - 李逍遥 - Moodskys Notepad
     
    这里前面的地址变成了红色的。这样就算断点成功了,这里断了前面就不用断了,我们在ALT+B中删除以前的SEND断点。(Delete键删除) 
    OK,我们让程序恢复到运行状态! 
    [转贴]超级详细找CALL写CALL教程 - 李逍遥 - Moodskys Notepad
     
    好,我们看到,测试程序中显示,使用了一个补血药品。OK,我们继续按“吃血”! 
    [转贴]超级详细找CALL写CALL教程 - 李逍遥 - Moodskys Notepad
     
    好的,看到断点了没有,正好断在我们刚才下断点的地方。说明不管这个CALL正确与否,我们吃血的过程都要调用这个CALL,这样就离正确很接近了。 
    我们刚才说看CALL的参数,CALL的参数其实就是在调用CALL的时候所需要的运行环境,在什么条件下,CALL执行之后是吃血,什么情况下是吃蓝。 
    好的。我们现在利用到了寄存器。看寄存器中的提示,有两个红色,说明当我们调用CALL的时候,它使用了寄存器中的两个地址。那么这个就是CALL的 
    运行环境了,也就是说,只要在我们调用这个CALL的时候,寄存器EAX中有值00D51FE4和寄存器ECX中有值0042ABE4就可以运行。这里还有一个特殊 
    情况,这里我先卖个关子。 
    这里也解释了上面的那个不是我们用到的那个CALL如何看参数! 
    好,这里我们写一个小程序来调用CALL。 
    ========================================================
    好,不管是不是这个CALL,我们先来测试一下 
     
    我是用delphi的,所以这里讲解delphi-----这里我还要多一嘴,其实语言只是工具,只要学会了道理,就不在乎语言的问题了,其实在我们这个阶段,语言的区分仅仅是命令不同而已 
    我会把如何写的理论告诉给大家。让大家知道------花儿为什么这样红!o(∩_∩)o...哈哈 
     
    首先,我们要调用一个程序的CALL,需要干什么。当然是指定这个程序啦!如何指定?如果这里您不知道,建议您去句柄那里好好修炼一下。 
    Hwnd:=FindWindow('1','2')======这里的Hwnd是个变量,为窗口句柄。FindWindow是一个找窗口句柄的命令,这里有两个参数,我用1和2代替。其中1在命令中应该是窗口类名,2在这里应该是窗口标题。 
    GetWindowThreadProcessID(1,2)=这里的GetWindowThreadProcessID()也是个命令,是找窗口线程ID的一个命令,有两个参数。1代表窗口句柄,2代表赋值变量,这个变量就是我们要把线程ID赋值给什么变量,可以这么写GetWindowThreadProcessID(Hwnd,@ThreadID); 
    OpenProcess(1,2,3)===========这个命令是打开进程并返回进程ID,有三个参数,分别为参数类型,句柄继承符,和线程ID.可以写为Pid:=OpenProcess(Process_all_access,false,ThreadID) 
    Process_all_access就是打开进程的格式,我们这里使用全部格式就可以了。无需理解,这么写就好。 
    这里写好了,我们可以检测一下是否成功。 
    [转贴]超级详细找CALL写CALL教程 - 李逍遥 - Moodskys Notepad

    [转贴]超级详细找CALL写CALL教程 - 李逍遥 - Moodskys Notepad

    这里就是找线程ID了!下面写注入 
    过程注入函数 
    function TForm1.InsterGameFun(Hid:cardinal;FunName:pointer):cardinal; 
    var 
    {要注入线程的窗口句柄和临时存放的句柄} 
      TmpHandle: THandle; 
      ThreadID: Thandle; 
      ThreadAdd:pointer; 
      WriteCount: DWORD; 
    begin 
      ThreadAdd := VirtualAllocEx(Hid, nil, 128, MEM_COMMIT, PAGE_EXECUTE_READWRITE);//在目标进程建立内存空间 
      WriteProcessMemory(Hid, ThreadAdd,FunName, 128, WriteCount);//将要注入的过程写到上面建立的内存空间中 
      TmpHandle := CreateRemoteThread(Hid, nil, 0, ThreadAdd, nil, CREATE_SUSPENDED, ThreadID);//获得注入后过程的句柄ID 
      result:=TmpHandle;//返回句柄ID 
    end; 
    这里照抄也可以,反正就是这么写的,每步怎么个意思我也标示了。 
    注入也写了,窗口也获取了,剩下的就是写CALL了。 
     
    好的!我们看这个图片 
     
    记得我刚才说的EAX(00D51FE4)和ECX(0042ABE4)了吗? 
     
    按照这里来说。只要我们写命令 
    pushed 
        asm 
    mov eax,$005D1FE4 
    mov ecx,$0042ABE4 
        call $00452E98 
    popad 
    一般这样的命令就可以了。 
     
    但是我们这么写的时候却没有生效。那么一定是哪里出错了。我们对比两个图 
     
     
     
    我们对比两个图的寄存器中的值。 
    我们发现EDX中,值在返回之后度没有变化。也就是说这里EDX也有可能是环境因素之一。而ECX前后却有变化,那ECX是不是环境呢? 
    我们做如下测试。 
    procedure HP;  //吃红 
    var 
      Address:pointer; 
    begin 
      Address:=pointer($00452e98); 
      asm 
        pushad 
      mov eax,$00D51FE4 
      mov ecx,$0042ABE4 
      mov edx,$00453028 
        call Address 
        popad 
    end; 
    end; 
    我们这么写,测试一下,成功!那么去掉ECX呢?也成功! 
    这里就是EDX和EAX是真正的参数了。 
    ========================================================
    好的,我这已经讲解的超级详细了,如果还有人不明白,那我真吐血了! 
    以此类推就可以写出蓝,回城的CALL,呵呵,如果写不出来。那你看来还要重新看我的文章。
    上一节我讲解了吃血的CALL,吃蓝,回城,其实跟吃血一样,我个人觉得没必要去写了。如果仔细看过我的文章的话,我坚信一定可以做出来的。 
    好的,废话不多说,我们继续找“冰系”“火系”CALL以及如何去表达它。 
    打开OD和找CALL练习并且附加,下断,一系列工作不再赘述。 
    单击“冰系”-----断了。根据上次我们所说的,CALL在第四层中。我们直接进入第四层 
    [转贴]超级详细找CALL写CALL教程(续) - 李逍遥 - Moodskys Notepad

     
    好的,我们看到了RETN之前的4条语句, 
    [转贴]超级详细找CALL写CALL教程(续) - 李逍遥 - Moodskys Notepad

     
    这里就是我们要找的CALL了。好的,在此CALL上下断!(F2)并去掉原来的断(ALT+B) 
    OK,F9运行程序并再次点击“冰系”使其断下。 
     
    很好,很好,在我们要找的CALL处断下了。 
    OK,首先看汇编语句 
    我们首先要判断,那条语句对CALL产生了作用,那么如何判断呢? 
    我目前有三个途径可以判断,一是根据断点判断,二是根据寄存器判断,三是跟踪判断。 
    好的,这里我们先说下断点判断。 
    在上面四条语句中全部下断。并让程序恢复运行状态。 
    [转贴]超级详细找CALL写CALL教程(续) - 李逍遥 - Moodskys Notepad

     
    好的,再次点击“冰系”我们发现了一个问题。就是前面两条命令并没有参与CALL的调用动作,因为直接跳过了,并没有在语句中断下。于此判断,这两个语句跟这里的CALL无关。 
    [转贴]超级详细找CALL写CALL教程(续) - 李逍遥 - Moodskys Notepad


     
    OK,既然确定了CALL的因素,我们就来分析,应该如何去调用它。 
    下面三个图大家看一下,我给大家一个对比
    [转贴]超级详细找CALL写CALL教程(续) - 李逍遥 - Moodskys Notepad

    [转贴]超级详细找CALL写CALL教程(续) - 李逍遥 - Moodskys Notepad

    [转贴]超级详细找CALL写CALL教程(续) - 李逍遥 - Moodskys Notepad
     
     
    好,通过上面的图,大家可以发现
    当命令
    mov edx,1执行的时候,调用了寄存器中EAX ECX EDX中的值
    CALL 00452DF8  执行的之后只调用了EDX。也就是说,这里的EDX是影响CALL的因素。
    RETN EAX ECX EDX 这里返回的时候也是返回了三个值,正好跟EDX的因素有关系。
    现在这样就确定了,EAX,ECX,EDX就是CALL的因素。
    那么该如何调用应该不用我去说了吧。不清楚的去看我的第一篇文章,
    有变化的仅仅是这里其中一条命令应该为 mov edx,1
    好的。如果不明白,就留言吧,我会发代码上来的。
  • 相关阅读:
    Java并发学习笔记
    OSI七层网络模型
    网络寻址过程
    ThinkPhp之Rce分析
    Java cc6
    Java cc1
    Yso中的URLDNS分析学习
    JWT攻防
    权限维持之创建本地账号(T1136.001)
    redis配置修改后不生效的原因
  • 原文地址:https://www.cnblogs.com/delphi7456/p/1854175.html
Copyright © 2011-2022 走看看