首先说明,这个教程以一个找CALL的练习程序为例子。之所以不拿游戏,因为游戏找CALL时间长了,不适合做教程,而且本练习涵盖参数。我将说明为什么这么调用,为什么这么写!
好的。偶们好的,偶们这节课需要用到的程序为【wygailf】制作的一个找CALL测试程序。首先感谢他!
这个就是我们用到的程序,OK,打开他并且用OD附加进程!
并使其进入“运行”状态
好的,下面我没开始找CALL,首先说明一下,CTRL+F9这个是“运行到返回”。为什么要按这个按钮?----就我的理解,假设把程序比做很多层的一个盒子,而CALL就是我们要从盒子里拿出来的东西。
那么,如果我们想拿出来CALL,怎么办?当然是打开盒子,取出盒子,再打开盒子,取出盒子.....而这个CTRL+F9就是这个打开盒子到取出盒子的过程。运行到返回,顾名思义,就是运行到RET(返回)截止。
而这个RET也正是跳出本层的一个关键点。每一个RET都有可能是一层。所以这样也就解释了为什么有的时候按三下CTRL+F9和四下CTRL+F9的原因了。
好,说的就这些。下面LET'S GO!
我们首先下断点bp send。
然后回车。如果不确定自己是否成功的下了断点。可以在OD中按ALT+B来查看
好的,这个就是我们下的断点了。始终就是断点有效,也可以暂停断点。选择一个断点,敲空格。这个断点就变成了“禁用”。这样就算暂停了断点。OK这里不再赘述,我们开始。
========================================================
首先,我们来个HP药水试试!
在这里选择吃药。然后OD会断下。(这里还要说一下,这个软件原来的教程是错误的~~望改正)!
这里是程序断下的地方,我们可以看到下方有如下注释:
SEND来自.....说明这里是send函数被断开的地方。
好的。偶们好的,偶们这节课需要用到的程序为【wygailf】制作的一个找CALL测试程序。首先感谢他!
这个就是我们用到的程序,OK,打开他并且用OD附加进程!
并使其进入“运行”状态
好的,下面我没开始找CALL,首先说明一下,CTRL+F9这个是“运行到返回”。为什么要按这个按钮?----就我的理解,假设把程序比做很多层的一个盒子,而CALL就是我们要从盒子里拿出来的东西。
那么,如果我们想拿出来CALL,怎么办?当然是打开盒子,取出盒子,再打开盒子,取出盒子.....而这个CTRL+F9就是这个打开盒子到取出盒子的过程。运行到返回,顾名思义,就是运行到RET(返回)截止。
而这个RET也正是跳出本层的一个关键点。每一个RET都有可能是一层。所以这样也就解释了为什么有的时候按三下CTRL+F9和四下CTRL+F9的原因了。
好,说的就这些。下面LET'S GO!
我们首先下断点bp send。
然后回车。如果不确定自己是否成功的下了断点。可以在OD中按ALT+B来查看
好的,这个就是我们下的断点了。始终就是断点有效,也可以暂停断点。选择一个断点,敲空格。这个断点就变成了“禁用”。这样就算暂停了断点。OK这里不再赘述,我们开始。
========================================================
首先,我们来个HP药水试试!
在这里选择吃药。然后OD会断下。(这里还要说一下,这个软件原来的教程是错误的~~望改正)!
这里是程序断下的地方,我们可以看到下方有如下注释:
SEND来自.....说明这里是send函数被断开的地方。
继续,CTRL+F9我每一步都会记录下来,一点一点给新手解释为什么!
上图是我按下第一次CTRL+F9之后转到的RET。这里再顺便说一句。看到这里的RET 10了没有。这里是RET 10就是有4个参数的RET,一个参数占4个字节。那么按照这么说来应该是 RET 16才对啊。其实
这里的10是16进制的10,那么16=10(16进制)=4x4所以这里是RET 10。好,下面说正题:看到上面的CALL了没有。CALL WS2_32....当你看到这个的时候,你就可以毫不犹豫的再次按下CTRL+F9了,说明你现在还在系统的范围内。还没有进入到程序。为什么系统跟程序不一样?因为程序是依托在WINDOWS平台运行的。那么如果程序要干什么事情,就要跟WINDOWS打声招呼。也就是SEND函数!程序跟系统说,我要做动作了,系统说批准,程序说我要喝药,系统说批准,程序说我去哪里喝药,系统说CALL!好的,这里的CALL就是我们需要的CALL了。:-)
第二次CTRL+F9,这里的CALL还是差不多,还在系统层内。我们继续!
OK,以上是第三次按CTRL+F9所看到的信息。
看到这里了吗,已经是程序层了。也就说这里很有可能就是我们需要的CALL了。OK。我们来测试一下
好的,我们来看这一段
看第一行:mov dword ptr fs:[eax],edx -------这里的意思是:将指针赋值到dword,后面有FS就是注释[eax],edx其实就是将edx中的值复制到eax中,使eax和edx相等。
看第二行:push 入栈,入栈就是把一个数值放到寄存器中,其实跟mov是一样的,那么这里push到哪里了呢?因为第一行eax已经被占用,那么这里就应该是ebx。也就说这里是赋值EBX。
看第三行:lea eax,pword ptr ss:[edp-4]。这里LEA指令指将操作结果保存到eax,好既然是eax我们就不管他了。至于是什么结果,我们一会看。
看第四行:CALL不解释。就是我们需要的东西。(但其实不是)
看第五行:ret 返回的意思。
好的,假设这段代码是我们需要的代码,那我们该怎么去表达它,在程序中如何去写?
这里留个悬念,因为我事先测试过,这里不是我们需要的CALL,我就不说了。等找到正确CALL的时候我再讲解如何去写CALL。
好继续CTRL+F9下图
看这里,跟上面一样,这个返回没用,我们继续CTRL+F9。
好,这里又出现了一个CALL,那我们想想是不是这个呢?如何去调用这个CALL?
首先,我们要测试一下它是不是一个带参数的CALL,至于怎么测试呢?---靠,那就用程序CALL一下呗!但这里的CALL是个有参数的CALL。我们继续。
我们如何知道这个CALL调用了什么参数?试想一下,CALL调用参数,要在哪里看?当然是在CALL中看了,如何看?那就让我们去CALL那里了,如何去?--断点~!(周杰伦唱的)
好,在上面CALL那里下断点~选择CALL,按F2
这里前面的地址变成了红色的。这样就算断点成功了,这里断了前面就不用断了,我们在ALT+B中删除以前的SEND断点。(Delete键删除)
OK,我们让程序恢复到运行状态!
好,我们看到,测试程序中显示,使用了一个补血药品。OK,我们继续按“吃血”!
好的,看到断点了没有,正好断在我们刚才下断点的地方。说明不管这个CALL正确与否,我们吃血的过程都要调用这个CALL,这样就离正确很接近了。
我们刚才说看CALL的参数,CALL的参数其实就是在调用CALL的时候所需要的运行环境,在什么条件下,CALL执行之后是吃血,什么情况下是吃蓝。
好的。我们现在利用到了寄存器。看寄存器中的提示,有两个红色,说明当我们调用CALL的时候,它使用了寄存器中的两个地址。那么这个就是CALL的
运行环境了,也就是说,只要在我们调用这个CALL的时候,寄存器EAX中有值00D51FE4和寄存器ECX中有值0042ABE4就可以运行。这里还有一个特殊
情况,这里我先卖个关子。
这里也解释了上面的那个不是我们用到的那个CALL如何看参数!
好,这里我们写一个小程序来调用CALL。
========================================================
好,不管是不是这个CALL,我们先来测试一下
我是用delphi的,所以这里讲解delphi-----这里我还要多一嘴,其实语言只是工具,只要学会了道理,就不在乎语言的问题了,其实在我们这个阶段,语言的区分仅仅是命令不同而已
我会把如何写的理论告诉给大家。让大家知道------花儿为什么这样红!o(∩_∩)o...哈哈
首先,我们要调用一个程序的CALL,需要干什么。当然是指定这个程序啦!如何指定?如果这里您不知道,建议您去句柄那里好好修炼一下。
Hwnd:=FindWindow('1','2')======这里的Hwnd是个变量,为窗口句柄。FindWindow是一个找窗口句柄的命令,这里有两个参数,我用1和2代替。其中1在命令中应该是窗口类名,2在这里应该是窗口标题。
GetWindowThreadProcessID(1,2)=这里的GetWindowThreadProcessID()也是个命令,是找窗口线程ID的一个命令,有两个参数。1代表窗口句柄,2代表赋值变量,这个变量就是我们要把线程ID赋值给什么变量,可以这么写GetWindowThreadProcessID(Hwnd,@ThreadID);
OpenProcess(1,2,3)===========这个命令是打开进程并返回进程ID,有三个参数,分别为参数类型,句柄继承符,和线程ID.可以写为Pid:=OpenProcess(Process_all_access,false,ThreadID)
Process_all_access就是打开进程的格式,我们这里使用全部格式就可以了。无需理解,这么写就好。
这里写好了,我们可以检测一下是否成功。
这里就是找线程ID了!下面写注入
过程注入函数
function TForm1.InsterGameFun(Hid:cardinal;FunName:pointer):cardinal;
var
{要注入线程的窗口句柄和临时存放的句柄}
TmpHandle: THandle;
ThreadID: Thandle;
ThreadAdd:pointer;
WriteCount: DWORD;
begin
ThreadAdd := VirtualAllocEx(Hid, nil, 128, MEM_COMMIT, PAGE_EXECUTE_READWRITE);//在目标进程建立内存空间
WriteProcessMemory(Hid, ThreadAdd,FunName, 128, WriteCount);//将要注入的过程写到上面建立的内存空间中
TmpHandle := CreateRemoteThread(Hid, nil, 0, ThreadAdd, nil, CREATE_SUSPENDED, ThreadID);//获得注入后过程的句柄ID
result:=TmpHandle;//返回句柄ID
end;
这里照抄也可以,反正就是这么写的,每步怎么个意思我也标示了。
注入也写了,窗口也获取了,剩下的就是写CALL了。
好的!我们看这个图片
记得我刚才说的EAX(00D51FE4)和ECX(0042ABE4)了吗?
按照这里来说。只要我们写命令
pushed
asm
mov eax,$005D1FE4
mov ecx,$0042ABE4
call $00452E98
popad
一般这样的命令就可以了。
但是我们这么写的时候却没有生效。那么一定是哪里出错了。我们对比两个图
我们对比两个图的寄存器中的值。
我们发现EDX中,值在返回之后度没有变化。也就是说这里EDX也有可能是环境因素之一。而ECX前后却有变化,那ECX是不是环境呢?
我们做如下测试。
procedure HP; //吃红
var
Address:pointer;
begin
Address:=pointer($00452e98);
asm
pushad
mov eax,$00D51FE4
mov ecx,$0042ABE4
mov edx,$00453028
call Address
popad
end;
end;
我们这么写,测试一下,成功!那么去掉ECX呢?也成功!
这里就是EDX和EAX是真正的参数了。
========================================================
好的,我这已经讲解的超级详细了,如果还有人不明白,那我真吐血了!
以此类推就可以写出蓝,回城的CALL,呵呵,如果写不出来。那你看来还要重新看我的文章。
上图是我按下第一次CTRL+F9之后转到的RET。这里再顺便说一句。看到这里的RET 10了没有。这里是RET 10就是有4个参数的RET,一个参数占4个字节。那么按照这么说来应该是 RET 16才对啊。其实
这里的10是16进制的10,那么16=10(16进制)=4x4所以这里是RET 10。好,下面说正题:看到上面的CALL了没有。CALL WS2_32....当你看到这个的时候,你就可以毫不犹豫的再次按下CTRL+F9了,说明你现在还在系统的范围内。还没有进入到程序。为什么系统跟程序不一样?因为程序是依托在WINDOWS平台运行的。那么如果程序要干什么事情,就要跟WINDOWS打声招呼。也就是SEND函数!程序跟系统说,我要做动作了,系统说批准,程序说我要喝药,系统说批准,程序说我去哪里喝药,系统说CALL!好的,这里的CALL就是我们需要的CALL了。:-)
第二次CTRL+F9,这里的CALL还是差不多,还在系统层内。我们继续!
OK,以上是第三次按CTRL+F9所看到的信息。
看到这里了吗,已经是程序层了。也就说这里很有可能就是我们需要的CALL了。OK。我们来测试一下
好的,我们来看这一段
看第一行:mov dword ptr fs:[eax],edx -------这里的意思是:将指针赋值到dword,后面有FS就是注释[eax],edx其实就是将edx中的值复制到eax中,使eax和edx相等。
看第二行:push 入栈,入栈就是把一个数值放到寄存器中,其实跟mov是一样的,那么这里push到哪里了呢?因为第一行eax已经被占用,那么这里就应该是ebx。也就说这里是赋值EBX。
看第三行:lea eax,pword ptr ss:[edp-4]。这里LEA指令指将操作结果保存到eax,好既然是eax我们就不管他了。至于是什么结果,我们一会看。
看第四行:CALL不解释。就是我们需要的东西。(但其实不是)
看第五行:ret 返回的意思。
好的,假设这段代码是我们需要的代码,那我们该怎么去表达它,在程序中如何去写?
这里留个悬念,因为我事先测试过,这里不是我们需要的CALL,我就不说了。等找到正确CALL的时候我再讲解如何去写CALL。
好继续CTRL+F9下图
看这里,跟上面一样,这个返回没用,我们继续CTRL+F9。
好,这里又出现了一个CALL,那我们想想是不是这个呢?如何去调用这个CALL?
首先,我们要测试一下它是不是一个带参数的CALL,至于怎么测试呢?---靠,那就用程序CALL一下呗!但这里的CALL是个有参数的CALL。我们继续。
我们如何知道这个CALL调用了什么参数?试想一下,CALL调用参数,要在哪里看?当然是在CALL中看了,如何看?那就让我们去CALL那里了,如何去?--断点~!(周杰伦唱的)
好,在上面CALL那里下断点~选择CALL,按F2
这里前面的地址变成了红色的。这样就算断点成功了,这里断了前面就不用断了,我们在ALT+B中删除以前的SEND断点。(Delete键删除)
OK,我们让程序恢复到运行状态!
好,我们看到,测试程序中显示,使用了一个补血药品。OK,我们继续按“吃血”!
好的,看到断点了没有,正好断在我们刚才下断点的地方。说明不管这个CALL正确与否,我们吃血的过程都要调用这个CALL,这样就离正确很接近了。
我们刚才说看CALL的参数,CALL的参数其实就是在调用CALL的时候所需要的运行环境,在什么条件下,CALL执行之后是吃血,什么情况下是吃蓝。
好的。我们现在利用到了寄存器。看寄存器中的提示,有两个红色,说明当我们调用CALL的时候,它使用了寄存器中的两个地址。那么这个就是CALL的
运行环境了,也就是说,只要在我们调用这个CALL的时候,寄存器EAX中有值00D51FE4和寄存器ECX中有值0042ABE4就可以运行。这里还有一个特殊
情况,这里我先卖个关子。
这里也解释了上面的那个不是我们用到的那个CALL如何看参数!
好,这里我们写一个小程序来调用CALL。
========================================================
好,不管是不是这个CALL,我们先来测试一下
我是用delphi的,所以这里讲解delphi-----这里我还要多一嘴,其实语言只是工具,只要学会了道理,就不在乎语言的问题了,其实在我们这个阶段,语言的区分仅仅是命令不同而已
我会把如何写的理论告诉给大家。让大家知道------花儿为什么这样红!o(∩_∩)o...哈哈
首先,我们要调用一个程序的CALL,需要干什么。当然是指定这个程序啦!如何指定?如果这里您不知道,建议您去句柄那里好好修炼一下。
Hwnd:=FindWindow('1','2')======这里的Hwnd是个变量,为窗口句柄。FindWindow是一个找窗口句柄的命令,这里有两个参数,我用1和2代替。其中1在命令中应该是窗口类名,2在这里应该是窗口标题。
GetWindowThreadProcessID(1,2)=这里的GetWindowThreadProcessID()也是个命令,是找窗口线程ID的一个命令,有两个参数。1代表窗口句柄,2代表赋值变量,这个变量就是我们要把线程ID赋值给什么变量,可以这么写GetWindowThreadProcessID(Hwnd,@ThreadID);
OpenProcess(1,2,3)===========这个命令是打开进程并返回进程ID,有三个参数,分别为参数类型,句柄继承符,和线程ID.可以写为Pid:=OpenProcess(Process_all_access,false,ThreadID)
Process_all_access就是打开进程的格式,我们这里使用全部格式就可以了。无需理解,这么写就好。
这里写好了,我们可以检测一下是否成功。
这里就是找线程ID了!下面写注入
过程注入函数
function TForm1.InsterGameFun(Hid:cardinal;FunName:pointer):cardinal;
var
{要注入线程的窗口句柄和临时存放的句柄}
TmpHandle: THandle;
ThreadID: Thandle;
ThreadAdd:pointer;
WriteCount: DWORD;
begin
ThreadAdd := VirtualAllocEx(Hid, nil, 128, MEM_COMMIT, PAGE_EXECUTE_READWRITE);//在目标进程建立内存空间
WriteProcessMemory(Hid, ThreadAdd,FunName, 128, WriteCount);//将要注入的过程写到上面建立的内存空间中
TmpHandle := CreateRemoteThread(Hid, nil, 0, ThreadAdd, nil, CREATE_SUSPENDED, ThreadID);//获得注入后过程的句柄ID
result:=TmpHandle;//返回句柄ID
end;
这里照抄也可以,反正就是这么写的,每步怎么个意思我也标示了。
注入也写了,窗口也获取了,剩下的就是写CALL了。
好的!我们看这个图片
记得我刚才说的EAX(00D51FE4)和ECX(0042ABE4)了吗?
按照这里来说。只要我们写命令
pushed
asm
mov eax,$005D1FE4
mov ecx,$0042ABE4
call $00452E98
popad
一般这样的命令就可以了。
但是我们这么写的时候却没有生效。那么一定是哪里出错了。我们对比两个图
我们对比两个图的寄存器中的值。
我们发现EDX中,值在返回之后度没有变化。也就是说这里EDX也有可能是环境因素之一。而ECX前后却有变化,那ECX是不是环境呢?
我们做如下测试。
procedure HP; //吃红
var
Address:pointer;
begin
Address:=pointer($00452e98);
asm
pushad
mov eax,$00D51FE4
mov ecx,$0042ABE4
mov edx,$00453028
call Address
popad
end;
end;
我们这么写,测试一下,成功!那么去掉ECX呢?也成功!
这里就是EDX和EAX是真正的参数了。
========================================================
好的,我这已经讲解的超级详细了,如果还有人不明白,那我真吐血了!
以此类推就可以写出蓝,回城的CALL,呵呵,如果写不出来。那你看来还要重新看我的文章。
上一节我讲解了吃血的CALL,吃蓝,回城,其实跟吃血一样,我个人觉得没必要去写了。如果仔细看过我的文章的话,我坚信一定可以做出来的。
好的,废话不多说,我们继续找“冰系”“火系”CALL以及如何去表达它。
打开OD和找CALL练习并且附加,下断,一系列工作不再赘述。
单击“冰系”-----断了。根据上次我们所说的,CALL在第四层中。我们直接进入第四层
好的,我们看到了RETN之前的4条语句,
这里就是我们要找的CALL了。好的,在此CALL上下断!(F2)并去掉原来的断(ALT+B)
OK,F9运行程序并再次点击“冰系”使其断下。
很好,很好,在我们要找的CALL处断下了。
OK,首先看汇编语句
我们首先要判断,那条语句对CALL产生了作用,那么如何判断呢?
我目前有三个途径可以判断,一是根据断点判断,二是根据寄存器判断,三是跟踪判断。
好的,这里我们先说下断点判断。
在上面四条语句中全部下断。并让程序恢复运行状态。
好的,再次点击“冰系”我们发现了一个问题。就是前面两条命令并没有参与CALL的调用动作,因为直接跳过了,并没有在语句中断下。于此判断,这两个语句跟这里的CALL无关。
OK,既然确定了CALL的因素,我们就来分析,应该如何去调用它。
下面三个图大家看一下,我给大家一个对比
好,通过上面的图,大家可以发现
当命令
mov edx,1执行的时候,调用了寄存器中EAX ECX EDX中的值
CALL 00452DF8 执行的之后只调用了EDX。也就是说,这里的EDX是影响CALL的因素。
RETN EAX ECX EDX 这里返回的时候也是返回了三个值,正好跟EDX的因素有关系。
现在这样就确定了,EAX,ECX,EDX就是CALL的因素。
那么该如何调用应该不用我去说了吧。不清楚的去看我的第一篇文章,
有变化的仅仅是这里其中一条命令应该为 mov edx,1
好的。如果不明白,就留言吧,我会发代码上来的。
好的,废话不多说,我们继续找“冰系”“火系”CALL以及如何去表达它。
打开OD和找CALL练习并且附加,下断,一系列工作不再赘述。
单击“冰系”-----断了。根据上次我们所说的,CALL在第四层中。我们直接进入第四层
好的,我们看到了RETN之前的4条语句,
这里就是我们要找的CALL了。好的,在此CALL上下断!(F2)并去掉原来的断(ALT+B)
OK,F9运行程序并再次点击“冰系”使其断下。
很好,很好,在我们要找的CALL处断下了。
OK,首先看汇编语句
我们首先要判断,那条语句对CALL产生了作用,那么如何判断呢?
我目前有三个途径可以判断,一是根据断点判断,二是根据寄存器判断,三是跟踪判断。
好的,这里我们先说下断点判断。
在上面四条语句中全部下断。并让程序恢复运行状态。
好的,再次点击“冰系”我们发现了一个问题。就是前面两条命令并没有参与CALL的调用动作,因为直接跳过了,并没有在语句中断下。于此判断,这两个语句跟这里的CALL无关。
OK,既然确定了CALL的因素,我们就来分析,应该如何去调用它。
下面三个图大家看一下,我给大家一个对比
好,通过上面的图,大家可以发现
当命令
mov edx,1执行的时候,调用了寄存器中EAX ECX EDX中的值
CALL 00452DF8 执行的之后只调用了EDX。也就是说,这里的EDX是影响CALL的因素。
RETN EAX ECX EDX 这里返回的时候也是返回了三个值,正好跟EDX的因素有关系。
现在这样就确定了,EAX,ECX,EDX就是CALL的因素。
那么该如何调用应该不用我去说了吧。不清楚的去看我的第一篇文章,
有变化的仅仅是这里其中一条命令应该为 mov edx,1
好的。如果不明白,就留言吧,我会发代码上来的。