外挂制作之超级详细找CALL写CALL
明,这个教程以一个找CALL的练习程序为例子。之所以不拿游戏,因为游戏找CALL时间长了,不适合做教程,而且本练习涵盖参数。我将说明为什么这么调用,为什么这么写! http://www.ghoffice.com/bbs/attachment/Fid_74/74_42544_74ce773cf512893.jpg这个就是我们用到的程序,OK,打开他并且用OD附加进程
http://www.ghoffice.com/bbs/attachment/Fid_74/74_42544_89bbfe891ce7817.jpg
并使其进入“运行”状态
好的,下面我没开始找CALL,首先说明一下,CTRL+F9这个是“运行到返回”。为什么要按这个按钮?----就我的理解,假设把程序比做很多层的一个盒子,而CALL就是我们要从盒子里拿出来的东西。
那么,如果我们想拿出来CALL,怎么办?当然是打开盒子,取出盒子,再打开盒子,取出盒子.....而这个CTRL+F9就是这个打开盒子到取出盒子的过程。运行到返回,顾名思义,就是运行到RET(返回)截止。
而这个RET也正是跳出本层的一个关键点。每一个RET都有可能是一层。所以这样也就解释了为什么有的时候按三下CTRL+F9和四下CTRL+F9的原因了。
好,说的就这些。下面LET'S GO!
我们首先下断点bp send
http://www.ghoffice.com/bbs/attachment/Fid_74/74_42544_12e7b365d0bba64.jpg
然后回车。如果不确定自己是否成功的下了断点。可以在OD中按ALT+B来查看
http://www.ghoffice.com/bbs/attachment/Fid_74/74_42544_b602c5679e79a8a.jpg
好的,这个就是我们下的断点了。始终就是断点有效,也可以暂停断点。选择一个断点,敲空格。这个断点就变成了“禁用”。这样就算暂停了断点。OK这里不再赘述,我们开始。
==============================================================================================================
首先,我们来个HP药水试试!
http://www.ghoffice.com/bbs/attachment/Fid_74/74_42544_5e927d6b9c0ae8b.jpg
在这里选择吃药。然后OD 会断下!
http://www.ghoffice.com/bbs/attachment/Fid_74/74_42544_2c16604544d2eed.jpg
这里是程序断下的地方,我们可以看到下方有 如下注释:
http://www.ghoffice.com/bbs/attachment/Fid_74/74_42544_434c4019d0f7def.jpg
SEND来自.....说明这里是send函数被断开的地方。
继续,CTRL+F9我每一步都会记录下来,一点一点给新手 解释为什么!
http://www.ghoffice.com/bbs/attachment/Fid_74/74_42544_0bfb60068f9d38d.jpg
上图是我按下第一次CTRL+F9之后转到的RET。这里再顺便说一句。看到这里的RET 10了没有。这里是RET 10就是有4个参数的RET,一个参数占4个字节。那么按照这么说来应该是 RET 16才对啊。其实
这里的10是16进制的10,那么16=10(16进制)=4x4所以这里是RET 10。好,下面说正题:看到上面的CALL了没有。CALL WS2_32....当你看到这个的时候,你就可以毫不犹豫的再次按下CTRL+F9了,说明你现在还在系统的范围内。还没有进入到程序。为什么系统跟程序不一样?因为程序是依托在WINDOWS平台运行的。那么如果程序要干什么事情,就要跟WINDOWS打声招呼。也就是SEND函数!程序跟系统说,我要做动作了,系统说批准,程序说我要喝药,系统说批准,程序说我去哪里喝药,系统说CALL!好的,这里的CALL就是我们需要的CA LL了。:-)
http://www.ghoffice.com/bbs/attachment/Fid_74/74_42544_8e07948ef92a267.jpg
第二次CTRL+F9,这里的CALL还是差不多,还在系统 层内。我们继续!
http://www.ghoffice.com/bbs/attachment/Fid_74/74_42544_5c01720b8a7b843.jpg
OK,以上是第三次按CTRL+F9所看到的信息。
看到这里了吗,已经是程序层了。也就说这里很有可能就是我们需要的CALL了。OK。我们来测试一下
好 的,我们来看这一段
http://www.ghoffice.com/bbs/attachment/Fid_74/74_42544_4fd1ff02487d6fe.jpg
lewei2000提醒:以下几点解释有误,初学者略过,楼主还需深化汇编知识
看第一行:mov dword ptr fs:,edx -------这里的意思是:将指针赋值到dword,后面有FS就是注释,edx其实就是将edx中的值复制到eax中,使eax和edx相等(由于版主的指正,这里要声明,此处的理解为自己的理解。并不是正规的解释方法,仅供参考而已)。
看第二行:push 入栈,入栈就是把一个数值放到寄存器中,其实跟mov是一样的,那么这里push到哪里了呢?因为第一行eax已经被占用,那么这里就应该是ebx。也就说这里是赋值EBX。
看第三行:lea eax,pword ptr ss:。这里LEA指令指将操作结果保存到eax,好既然是eax我们就不管他了。至于是什么结果,我们一会看。
看第四行:CALL不解释。就是我们需要的东西。(但其实不是)
看第五行:ret 返回的意思。
好的,假设这段代码是我们需要的代码,那我们该怎么去表达它,在程序中如何去写?
这里留个悬念,因为我事先测试过,这里不是我们需要的CALL,我就不说了。等找到正确CALL的时候我再讲解如何去写CALL。
好继 续CTRL+F9下图
http://www.ghoffice.com/bbs/attachment/Fid_74/74_42544_aa1c614777b6bf7.jpg
看这里,跟上面一样,这个返回没用,我 们继续CTRL+F9。
http://www.ghoffice.com/bbs/attachment/Fid_74/74_42544_b975c29bdef0125.jpg
好,这里又出现了一个CALL,那我们想想是不是这个呢?如何去调用这个CALL?
首先,我们要测试一下它是不是一个带参数的CALL,至于怎么测试呢?---靠,那就用程序CALL一下呗!但这里的CALL是个有参数的CALL。我们继续。
我们如何知道这个CALL调用了什么参数?试想一下,CALL调用参数,要在哪里看?当然是在CALL中看了,如何看?那就让我们去CALL那里了,如何去?--断点~!(周杰伦唱的)
好,在上面CALL那里下断 点~选择CALL,按F2
http://www.ghoffice.com/bbs/attachment/Fid_74/74_42544_08c60f400b1d1fe.jpg
这里前面的地址变成了红色的。这样就算断点成功了,这里断了前面就不用断了,我们在ALT+B中删除以前的SEND断点。(Delete键删除)
OK, 我们让程序恢复到运行状态!
http://www.ghoffice.com/bbs/attachment/Fid_74/74_42544_545dd1785b9875b.jpg
好,我们看到,测试程序中显示,使用了一个补血药品 。OK,我们继续按“吃血”!
http://www.ghoffice.com/bbs/attachment/Fid_74/74_42544_a28d8bab67d3f3e.jpg
好的,看到断点了没有,正好断在我们刚才下断点的地方。说明不管这个CALL正确与否,我们吃血的过程都要调用这个CALL,这样就离正确很接近了。
我们刚才说看CALL的参数,CALL的参数其实就是在调用CALL的时候所需要的运行环境,在什么条件下,CALL执行之后是吃血,什么情况下是吃蓝。
好的。我们现在利用到了寄存器。看寄存器中的提示,有两个红色,说明当我们调用CALL的时候,它使用了寄存器中的两个地址。那么这个就是CALL的
运行环境了,也就是说,只要在我们调用这个CALL的时候,寄存器EAX中有值00D51FE4和寄存器ECX中有值0042ABE4就可以运行。这里还有一个特殊
情况,这里我先卖个关子。
这里也解释了上面的那个不是我们用到的那个CALL如何看参数!
好,这里我们写一个小程序来调用CALL。
===========================================================================================
好,不管是不是这个CALL,我们先来测试一下
我是用delphi的,所以这里讲解delphi-----这里我还要多一嘴,其实语言只是工具,只要学会了道理,就不在乎语言的问题了,其实在我们这个阶段,语言的区分仅仅是命令不同而已
我会把如何写的理论告诉给大家。让大家知道------花儿为什么这样红!o(∩_∩)o...哈哈
首先,我们要调用一个程序的CALL,需要干什么。当然是指定这个程序啦!如何指定?如果这里您不知道,建议您去句柄那里好好修炼一下。
Hwnd:=FindWindow('1','2')======这里的Hwnd是个变量,为窗口句柄。FindWindow是一个找窗口句柄的命令,这里有两个参数,我用1和2代替。其中1在命令中应该是窗口类名。
2在这里应该是窗口标题。
GetWindowThreadProcessID(1,2)=这里的GetWindowThreadProcessID()也是个命令,是找窗口线程ID的一个命令,有两个参数。1代表窗口句柄,2代表赋值变量,这个变量就是我们
要把线程ID赋值给什么变量,可以这么写GetWindowThreadProcessID(Hwnd,@ThreadID);
OpenProcess(1,2,3)===========这个命令是打开进程并返回进程ID,有三个参数,分别为参数类型,句柄继承符,和线程ID.可以写为Pid:=OpenProcess(Process_all_access,false,ThreadID)
Process_all_access就是打开进程的格式,我们这里使用全部格式就可以了。无需理解,这么写就好。
这里写好了,我们可以检测一下是否成功。
http://www.ghoffice.com/bbs/attachment/Fid_74/74_42544_c320d9b1e782f44.jpg
http://www.ghoffice.com/bbs/attachment/Fid_74/74_42544_169533dcd7a0ce7.jpg
这里就是找线程ID了!下面写注入
过程注入函数
function TForm1.InsterGameFun(Hid:cardinal;FunName:pointer):cardinal;
var
{要注入线程的窗口句柄和临时存放的句柄}
TmpHandle: THandle;
ThreadID: Thandle;
ThreadAdd:pointer;
WriteCount: DWORD;
begin
ThreadAdd := VirtualAllocEx(Hid, nil, 128, MEM_COMMIT, PAGE_EXECUTE_READWRITE);//在目标进程建立内存空间
WriteProcessMemory(Hid, ThreadAdd,FunName, 128, WriteCount);//将要注入的过程写到上面建立的内存空间中
TmpHandle := CreateRemoteThread(Hid, nil, 0, ThreadAdd, nil, CREATE_SUSPENDED, ThreadID);//获得注入后过程的句柄ID
result:=TmpHandle;//返回句柄ID
end;
这里照抄也可以,反正就是这么写的,每步怎么个意思我也标示了。
注入也写了,窗口也获取了,剩下的就是写CALL了。
好的!我们看这个图片
记得我刚才说的EAX(00D51FE4)和ECX(0042ABE4)了吗?
按照这里来说。只要我们写命令
pushed
asm
mov eax,$005D1FE4
mov ecx,$0042ABE4
call $00452E98
popad
一般这样的命令就可以了。
但是我们这么写的时候却没有生效。那么一定是哪里出错了。我们对比两个图
我们对比两个图的寄存器中的值。
我们发现EDX中,值在返回之后度没有变化。也就是说这里EDX也有可能是环境因素之一。而ECX前后却有变化,那ECX是不是环境呢?
我们做如下测试。
procedure HP; //吃红
var
Address:pointer;
begin
Address:=pointer($00452e98);
asm
pushad
mov eax,$00D51FE4
mov ecx,$0042ABE4
mov edx,$00453028
call Address
popad
end;
end;
我们这么写,测试一下,成功!那么去掉ECX呢?也成功!
这里就是EDX和EAX是真正的参数了 “积分-3 威望-19 点 吾爱币-123 CB”
敢问楼主一小时的在线怎么弄成那样的哦~佩服:L 很久以前的,谢谢分享 吾爱币为什么是负数的。。。 谢谢楼主了,呵呵 不知道算不算挖坟。 下来试试看 很久以前的,谢谢分享 下载来试试 谢谢楼主~ 这个好教程。谢谢 真的不错。