超级详细找CALL写CALL教程

首先说明，这个教程以一个找CALL的练习程序为例子。之所以不拿游戏，因为游戏找CALL时间长了，不适合做教程，而且本练习涵盖参数。我将说明为什么这么调用，为什么这么写！ 
好的。偶们好的，偶们这节课需要用到的程序为【wygailf】制作的一个找CALL测试程序。首先感谢他！ 
 
这个就是我们用到的程序，OK，打开他并且用OD附加进程！ 

并使其进入“运行”状态 
好的，下面我没开始找CALL，首先说明一下，CTRL+F9这个是“运行到返回”。为什么要按这个按钮？----就我的理解，假设把程序比做很多层的一个盒子，而CALL就是我们要从盒子里拿出来的东西。 
那么，如果我们想拿出来CALL，怎么办？当然是打开盒子，取出盒子，再打开盒子，取出盒子.....而这个CTRL+F9就是这个打开盒子到取出盒子的过程。运行到返回，顾名思义，就是运行到RET（返回）截止。 
而这个RET也正是跳出本层的一个关键点。每一个RET都有可能是一层。所以这样也就解释了为什么有的时候按三下CTRL+F9和四下CTRL+F9的原因了。 
 
好，说的就这些。下面LET'S GO！ 
 
我们首先下断点bp send。 

然后回车。如果不确定自己是否成功的下了断点。可以在OD中按ALT+B来查看 

 好的，这个就是我们下的断点了。始终就是断点有效，也可以暂停断点。选择一个断点，敲空格。这个断点就变成了“禁用”。这样就算暂停了断点。OK这里不再赘述，我们开始。 
 ======================================================== 
 首先，我们来个HP药水试试！

 在这里选择吃药。然后OD会断下。（这里还要说一下，这个软件原来的教程是错误的~~望改正）！ 

 这里是程序断下的地方，我们可以看到下方有如下注释： 

 SEND来自.....说明这里是send函数被断开的地方。 
 

继续，CTRL+F9我每一步都会记录下来，一点一点给新手解释为什么！ 

 
上图是我按下第一次CTRL+F9之后转到的RET。这里再顺便说一句。看到这里的RET 10了没有。这里是RET 10就是有4个参数的RET,一个参数占4个字节。那么按照这么说来应该是 RET 16才对啊。其实 
这里的10是16进制的10，那么16=10（16进制）=4x4所以这里是RET 10。好，下面说正题：看到上面的CALL了没有。CALL WS2_32....当你看到这个的时候，你就可以毫不犹豫的再次按下CTRL+F9了，说明你现在还在系统的范围内。还没有进入到程序。为什么系统跟程序不一样？因为程序是依托在WINDOWS平台运行的。那么如果程序要干什么事情，就要跟WINDOWS打声招呼。也就是SEND函数！程序跟系统说，我要做动作了，系统说批准，程序说我要喝药，系统说批准，程序说我去哪里喝药，系统说CALL！好的，这里的CALL就是我们需要的CALL了。:-) 

 
第二次CTRL+F9，这里的CALL还是差不多，还在系统层内。我们继续！ 

 
OK，以上是第三次按CTRL+F9所看到的信息。 
看到这里了吗，已经是程序层了。也就说这里很有可能就是我们需要的CALL了。OK。我们来测试一下 
 
好的，我们来看这一段 

 
看第一行：mov dword ptr fs:[eax],edx -------这里的意思是：将指针赋值到dword，后面有FS就是注释[eax],edx其实就是将edx中的值复制到eax中，使eax和edx相等。 
看第二行：push 入栈,入栈就是把一个数值放到寄存器中，其实跟mov是一样的，那么这里push到哪里了呢？因为第一行eax已经被占用，那么这里就应该是ebx。也就说这里是赋值EBX。 
看第三行：lea eax,pword ptr ss:[edp-4]。这里LEA指令指将操作结果保存到eax，好既然是eax我们就不管他了。至于是什么结果，我们一会看。 
看第四行：CALL不解释。就是我们需要的东西。（但其实不是） 
看第五行：ret 返回的意思。 
好的，假设这段代码是我们需要的代码，那我们该怎么去表达它，在程序中如何去写？ 
这里留个悬念，因为我事先测试过，这里不是我们需要的CALL，我就不说了。等找到正确CALL的时候我再讲解如何去写CALL。 
好继续CTRL+F9下图 

 
看这里，跟上面一样，这个返回没用，我们继续CTRL+F9。 

 
好，这里又出现了一个CALL，那我们想想是不是这个呢？如何去调用这个CALL？ 
首先，我们要测试一下它是不是一个带参数的CALL，至于怎么测试呢？---靠，那就用程序CALL一下呗！但这里的CALL是个有参数的CALL。我们继续。 
我们如何知道这个CALL调用了什么参数？试想一下，CALL调用参数，要在哪里看？当然是在CALL中看了，如何看？那就让我们去CALL那里了，如何去？--断点~！（周杰伦唱的） 
好，在上面CALL那里下断点~选择CALL，按F2 

 
这里前面的地址变成了红色的。这样就算断点成功了，这里断了前面就不用断了，我们在ALT+B中删除以前的SEND断点。（Delete键删除） 
OK，我们让程序恢复到运行状态！ 

 
好，我们看到，测试程序中显示，使用了一个补血药品。OK，我们继续按“吃血”！ 

 
好的，看到断点了没有，正好断在我们刚才下断点的地方。说明不管这个CALL正确与否，我们吃血的过程都要调用这个CALL，这样就离正确很接近了。 
我们刚才说看CALL的参数，CALL的参数其实就是在调用CALL的时候所需要的运行环境，在什么条件下，CALL执行之后是吃血，什么情况下是吃蓝。 
好的。我们现在利用到了寄存器。看寄存器中的提示，有两个红色，说明当我们调用CALL的时候，它使用了寄存器中的两个地址。那么这个就是CALL的 
运行环境了，也就是说，只要在我们调用这个CALL的时候，寄存器EAX中有值00D51FE4和寄存器ECX中有值0042ABE4就可以运行。这里还有一个特殊 
情况，这里我先卖个关子。 
这里也解释了上面的那个不是我们用到的那个CALL如何看参数！ 
好，这里我们写一个小程序来调用CALL。 
========================================================
好，不管是不是这个CALL，我们先来测试一下 
 
我是用delphi的，所以这里讲解delphi-----这里我还要多一嘴，其实语言只是工具，只要学会了道理，就不在乎语言的问题了，其实在我们这个阶段，语言的区分仅仅是命令不同而已 
我会把如何写的理论告诉给大家。让大家知道------花儿为什么这样红！o(∩_∩)o...哈哈 
 
首先，我们要调用一个程序的CALL，需要干什么。当然是指定这个程序啦！如何指定？如果这里您不知道，建议您去句柄那里好好修炼一下。 
Hwnd:=FindWindow('1','2')======这里的Hwnd是个变量，为窗口句柄。FindWindow是一个找窗口句柄的命令，这里有两个参数，我用1和2代替。其中1在命令中应该是窗口类名，2在这里应该是窗口标题。 
GetWindowThreadProcessID(1,2)=这里的GetWindowThreadProcessID()也是个命令，是找窗口线程ID的一个命令，有两个参数。1代表窗口句柄，2代表赋值变量，这个变量就是我们要把线程ID赋值给什么变量，可以这么写GetWindowThreadProcessID(Hwnd,@ThreadID); 
OpenProcess(1,2,3)===========这个命令是打开进程并返回进程ID，有三个参数，分别为参数类型，句柄继承符，和线程ID.可以写为Pid:=OpenProcess(Process_all_access,false,ThreadID) 
Process_all_access就是打开进程的格式，我们这里使用全部格式就可以了。无需理解，这么写就好。 
这里写好了，我们可以检测一下是否成功。 




这里就是找线程ID了！下面写注入 
过程注入函数 
function TForm1.InsterGameFun(Hid:cardinal;FunName:pointer):cardinal; 
var 
{要注入线程的窗口句柄和临时存放的句柄} 
  TmpHandle: THandle; 
  ThreadID: Thandle; 
  ThreadAdd:pointer; 
  WriteCount: DWORD; 
begin 
  ThreadAdd := VirtualAllocEx(Hid, nil, 128, MEM_COMMIT, PAGE_EXECUTE_READWRITE);//在目标进程建立内存空间 
  WriteProcessMemory(Hid, ThreadAdd,FunName, 128, WriteCount);//将要注入的过程写到上面建立的内存空间中 
  TmpHandle := CreateRemoteThread(Hid, nil, 0, ThreadAdd, nil, CREATE_SUSPENDED, ThreadID);//获得注入后过程的句柄ID 
  result:=TmpHandle;//返回句柄ID 
end; 
这里照抄也可以，反正就是这么写的，每步怎么个意思我也标示了。 
注入也写了，窗口也获取了，剩下的就是写CALL了。 
 
好的！我们看这个图片 
 
记得我刚才说的EAX(00D51FE4)和ECX(0042ABE4)了吗？ 
 
按照这里来说。只要我们写命令 
pushed 
    asm 
mov eax,$005D1FE4 
mov ecx,$0042ABE4 
    call $00452E98 
popad 
一般这样的命令就可以了。 
 
但是我们这么写的时候却没有生效。那么一定是哪里出错了。我们对比两个图 
 
 
 
我们对比两个图的寄存器中的值。 
我们发现EDX中，值在返回之后度没有变化。也就是说这里EDX也有可能是环境因素之一。而ECX前后却有变化，那ECX是不是环境呢？ 
我们做如下测试。 
procedure HP;  //吃红 
var 
  Address:pointer; 
begin 
  Address:=pointer($00452e98); 
  asm 
    pushad 
  mov eax,$00D51FE4 
  mov ecx,$0042ABE4 
  mov edx,$00453028 
    call Address 
    popad 
end; 
end; 
我们这么写，测试一下，成功！那么去掉ECX呢？也成功！ 
这里就是EDX和EAX是真正的参数了。 
========================================================
好的，我这已经讲解的超级详细了，如果还有人不明白，那我真吐血了！ 
以此类推就可以写出蓝，回城的CALL，呵呵，如果写不出来。那你看来还要重新看我的文章。

上一节我讲解了吃血的CALL，吃蓝，回城，其实跟吃血一样，我个人觉得没必要去写了。如果仔细看过我的文章的话，我坚信一定可以做出来的。 
好的，废话不多说，我们继续找“冰系”“火系”CALL以及如何去表达它。 
打开OD和找CALL练习并且附加，下断，一系列工作不再赘述。 
单击“冰系”-----断了。根据上次我们所说的，CALL在第四层中。我们直接进入第四层 


 
好的，我们看到了RETN之前的4条语句， 


 
这里就是我们要找的CALL了。好的，在此CALL上下断！（F2）并去掉原来的断（ALT+B） 
OK，F9运行程序并再次点击“冰系”使其断下。 
 
很好，很好，在我们要找的CALL处断下了。 
OK，首先看汇编语句 
我们首先要判断，那条语句对CALL产生了作用，那么如何判断呢？ 
我目前有三个途径可以判断，一是根据断点判断，二是根据寄存器判断，三是跟踪判断。 
好的，这里我们先说下断点判断。 
在上面四条语句中全部下断。并让程序恢复运行状态。 


 
好的，再次点击“冰系”我们发现了一个问题。就是前面两条命令并没有参与CALL的调用动作，因为直接跳过了，并没有在语句中断下。于此判断，这两个语句跟这里的CALL无关。 



 
OK，既然确定了CALL的因素，我们就来分析，应该如何去调用它。 
下面三个图大家看一下，我给大家一个对比





 
 
好，通过上面的图，大家可以发现
当命令
mov edx，1执行的时候，调用了寄存器中EAX ECX EDX中的值
CALL 00452DF8  执行的之后只调用了EDX。也就是说，这里的EDX是影响CALL的因素。
RETN EAX ECX EDX 这里返回的时候也是返回了三个值，正好跟EDX的因素有关系。
现在这样就确定了，EAX，ECX，EDX就是CALL的因素。
那么该如何调用应该不用我去说了吧。不清楚的去看我的第一篇文章，
有变化的仅仅是这里其中一条命令应该为 mov edx,1
好的。如果不明白，就留言吧，我会发代码上来的。