用OD查找喊话CALL的过程

最新推荐文章于 2023-03-03 21:58:31 发布
最新推荐文章于 2023-03-03 21:58:31 发布
阅读量6.7k 收藏 1
点赞数
分类专栏: 调试 文章标签: socket 聊天 c windows 测试

调用的代码地址在这里:
004BF823    |.    56              push      esi                                ; /Arg2
004BF824    |.    50              push      eax                                ; |Arg1
004BF825    |.    E8 A6F60B00    call      0057EED0                          ; /elementc.0057EED0


Arg2是喊话的内容
Arg1是喊话的类型

call      0057EED0    //这个就是CALL的地址


类型暂时找到如下(没灵犀暂时不试世界频道的类型了):
924100是当前频道
924102是组队频道

======================================================================

下面是用OD查找的过程:
用OD打开进程以后登录人物跑到一个空地,确保一切正常以后回OD下断(bp send)
测试了一下就算什么都不操作,OD也会每隔几秒断到一次send

乘这个基本固定时间中断的一次结束以后在聊天窗口里打句话发送,OD成功断下
断在007682A6(WS2_32.send)上面
(打bp send当然是断在send上面啦,然后层层退出去找我们要的)

敲一次ctrl+F9,地址转到了0058446E
00584459    |.    8B0D ACCB9000 mov      ecx, dword ptr [90CBAC]
0058445F    |.    6A 00          push      0                                  ; /Flags = 0
00584461    |.    6A 01          push      1                                  ; |DataSize = 1
00584463    |.    68 E8399000    push      009039E8                          ; |Data = elementc.009039E8
00584468    |.    51              push      ecx                                ; |Socket => FC
00584469    |.    E8 383E1E00    call      <jmp.&WS2_32.#19>                  ; /send
0058446E    |.    EB 07          jmp      short 00584477                    ;    第一次跳出来的地方,上面一行就是send的调用

4个参数OD都帮我们注释清楚了,还不明白可以找windows socket相关的文章来看看send的调用

再敲一次ctrl+F9,回到再上层调用地址
0057C6C5

再按ctrl+F9退一层,就到了004BF82A,而这行的上三行,就是最终找到的喊话call的调用
004BF823    |.    56              push      esi                                ; /Arg2
004BF824    |.    50              push      eax                                ; |Arg1
004BF825    |.    E8 A6F60B00    call      0057EED0                          ; /elementc.0057EED0
004BF82A    |.    8D8D D0FAFFFF lea      ecx, dword ptr [ebp-530]


怎么确定的? 部分是猜测,部分是参考了http://www.ghoffice.com/bbs/read.php?tid-37847-fpage-0-toread--page-2.html这个帖子里奇才贴的代码,事先知道了喊话call是2个参数的,省了不少麻烦。

地址换版本变了,不过还是找出来了。

取消send的断点,然后
在004BF825上按F2下断,验证一下.
聊天窗口里喊1234567,成功断在004BF825

此时寄存器里数据为:
EAX 00924100 elementc.00924100
ECX 033B1C68
EDX 0C3C6BFC UNICODE "123567"
EBX 066CF6E0
ESP 0012E6DC
EBP 0012F420
ESI 0C3C6BFC UNICODE "123567"
EDI 00000002
EIP 004BF825 elementc.004BF825

注意这2个
ESI 0C3C6BFC UNICODE "123567"
EAX 00924100 elementc.00924100

一切尽在不言中了。
 

VxD1
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 3542
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
【VIP疑问解答教程】分析问道喊话CALL
09-11
【VIP疑问解答教程】分析问道喊话CALL密码950921
一款游戏的喊话CALL的解决新思路
junehappylove(王俊伟)的专栏
09-18 3608
最近在研究一款网络游戏的喊话CALL,记录如下 找call非常容易 喊话CALL : 特征码:83 C4 10 8D 44 24 14 50 56 8B CD -- cpu -- 006F6A9F |. 8D4424 14 LEA EAX,DWORD PTR SS:[ESP+14] 006F6AA3 |. 50 ...
游戏安全丨喊话CALL分析-分析参数
m0_64973256的博客
06-23 1597
视频制作不易,求三联支持,拜谢~添加公众账号“极安御信安全研究院”,报暗号:“资料” 即可领取视频相关工具、源码、学习资料,和其他逆向工程免费课。进交流群报暗号“交流群” 网络安全交流群QQ:434238324...
向天草学习之路(一)
知其所以然
05-05 1412
本次学习所用到的工具是: OD + PEID。 PEID主要是用来查壳的。 总结: 通过查找注册关键字提示语找到对应的按钮事件,笔者在之前的博文中也有写到过。 需要注意的是: 在查找到对应的关键跳转的时,紧接着上面的CALL可能是关键CALL。在关键CALL下F2断点,修改关键跳的条件。方法有以下几种: 1,将关键CAL或者关键跳给NOP掉; 2,修改关键条上面的寄存器的值或者标志位;
OD CE找数据总结(上)
l198738655的博客
11-12 6512
一、找点击选怪物call以及选怪状态标志 1、ce搜未知数据,选择一个怪,搜变动,换一个,再搜变动,最后找到最像的查看访问地址代码,记下后,od附加跳转下段,返回上一层,用注入软件测试一下。 2、找到后,记下call上下代码和call内部代码,遗迹ce搜到的代码,方便以后定位基地址。 3、一般参数是存放怪物id等信息的地址和另外一个参数(可能是用来存放计算得到的怪物id等信息,就是ce搜到的...
游戏逆向基础之OD找CALL实践
douluo998的博客
03-03 2184
这些调用或许都能实现功能,但是越上面的,由于很内层,往往绕过了多层判断,可能会功能更强大,而越下面的,由于处在调用的较外层,所有功能会更完整,这就需要根据自己的需求去分析选择,以及逐一实验哪个函数是自己所需要的。ELEMENTC.0067D4E0 ELEMENTC.006C6E50//结构体CALL。0018EDE4 008DB977 可能 ELEMENTC.008EB9E0 ELEMENTC.008DB974。
外挂辅助技术-寻路CALL测试
郁金香灬老师 的专栏
02-04 4385
学习目标:     之分析寻路CALL 测试        1、通过目的地坐标回溯逆向分析>    2、通过发包函数回溯   FLDZ FILD 地址  FSTP 地址      思路:       FindWay(参数1,参数2,参数3,...)//里边肯定有一个是指向坐标 //1 006AEDFC    895D B4         MOV DWORD PT
游戏逆向
09-10
游戏数据的分析Moba游戏的技能躲避和技能轨迹的原理与实现FPS透视 的原理与实现(包括飞天遁地飞刀秒杀加速子弹穿墙等等原理与实现) Call的检测分析与实战内存效验的分析与实战CRC的处理等等每周更新4课时最大特点: 1、循序渐进 从基础开始讲解,帮助大家理解和掌握逆向编程的核心。 2、通俗易懂,编程语言枯燥难懂,然而通形象化的讲解使编程中的难点、重点,让您轻松掌握。 3、实战性强 编程中要注意什么?如何阅读出错提示?如何调试运行程序?如何排查错误,解决问题?
外挂学习之路(5)--- 写测试call的注意事项
liujiayu2的专栏
02-12 4047
找到常量call之后要先找个代码注入工具测试一下是不是想要找的call,一般用CodeinEX这个工具。说下写测试call的时候要注意到的细节,当然在写代码的时候也需要同样的注意。 1.      push数据的时候必须是常量,不能是类似push eax等类似代码 2.      注意堆栈平衡,加入call之前有4个push,call里面结尾如果有retn 0x10,call下边一般没有add
OD寻找CALL
Xed
10-15 5191
 关键Call的找法一直都是个不大不小让人头痛的问题,需要大量的汇编代码分析,还需要很多测试工作,当然还有一种变态的方法,那就是用OD断下后,把前前后后所有的call都测试一边,也能找到关键call,不过面对大量的call和无数次挂游戏,恐怕这个方法只能在理论上实现了。      那么是否有既不需要看大量的汇编代码,有能够经过有限的几个测试找到关键call的方法呢,下面我就把一种另类的找法送给和我
找call的万能方法,一招通杀所有网络游戏
01-21
找call的万能方法,一招通杀所有网络游戏
od基础找call课程讲解练习
01-15
od视频讲解 通过实例学习od 学习call 找call 和call的使用
OD-找CALL基础
03-23
OD-找CALL基础,夜猫VIP外挂编程培训班的VIP教程。 学习OD基础 1.通过小实例学习OD 2.分析call 3.学习调用call
七种OD查找oep的方法
07-15
七种OD查找oep的方法 单步跟踪法 ESP定律法 内存镜像法 一步到达OEP 最后一次异常法 模拟跟踪法 “SFX”法
插件 转载三个好用od插件 很好用
03-16
1、把OD2.01的反汇编引擎替换到OD1.1上 DisasmMode 简介: 1、Replace unidentified 仅替换OD1.1不认识的指令,推荐使用此模式 2、Replace all 完全替换,一般情况不建议使用此模式 3、Disable 关闭 //=============...
小甲鱼用的OD版本
12-03
来自小甲鱼解密视频,OD使用教程的OD,有原版和英文版。
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 8702
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3097
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
华为od 查找重复代码 java
最新发布
08-19
华为OD(Open Developer Platform,开发者开放平台)提供了多种工具来帮助开发人员查找重复代码,其中包括针对Java语言的查重工具。 在Java项目中,重复代码会降低代码的可读性和可维护性,并且增加了代码的冗余性。因此,查找和处理重复代码对于代码质量的提高非常重要。 华为OD提供了一款称为CodeAudit的代码审核工具,它能够进行静态代码分析,帮助开发人员发现和解决代码中的问题,包括重复代码。 使用CodeAudit进行重复代码查找过程大致如下: 1. 在华为OD开发者开放平台的官网上下载并安装CodeAudit工具。 2. 打开CodeAudit,并选择相应的Java项目。 3. 选择“代码重复”检测项,并设置相应的检测参数,例如代码重复的阈值、检测级别等。 4. 点击“开始检测”按钮,CodeAudit将会对Java项目进行静态代码分析,并查找重复代码。 5. 检测完成后,CodeAudit会生成相应的检测报告,其中包含了重复代码的位置、行数范围等信息。 6. 根据报告中的信息,开发人员可以查看具体的重复代码,并根据需要进行相应的代码重构和优化。 总之,华为OD提供的CodeAudit工具能够帮助开发人员在Java项目中查找重复代码,并提供相应的检测报告,以帮助开发人员提高代码质量,改善代码的可读性和可维护性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值