内容参考于:易道云信息技术研究院VIP课
上一个内容:定位明文发送数据的关键函数
首先来到下图位置,查看edi的值是怎样来的
然后使用高亮模式查看edi,看看谁给edi赋过值
首先是下图红框位置,mov ecx, edi也就是edi是一个类,这个类调用了它的成员函数,这个操作是可以修改edi的值的,所以需要记录一下0x914C1C
然后还有下图红框位置,0x914B96
然后下图红框位置,0x914B37
第一次修改edi,这个数据看不懂
第二个修改edi,这个数据相似,创建了一个数据包头,或者说一个空的数据包
它的参数是 7025 和 0,
移动时也会触发,它的参数是 7021 和 0,这个7021相似操作类型
在调用了下图红框位置的函数之后,我们聊天框输入的数据,写入了上方创建好的空数据包里
然后通过下图断点位置的函数,完成了明文数据组装过程,它的参数是,一个局部变量的控件 和 数据的长度
执行完它的数据,我们的消息数据写入到了,变量里
然后继续往下看,在调用第一次修改edi值的函数时,它的参数是刚刚的局部变量,和数据长度
这时的edi,还是一个空的数据包
执行完函数,消息数据写入到数据包,这里记录数据组装关键点,
如果分析要说话的数据,只要 HOOK 0x914C1E位置调用的0x47F550函数,在0x47F550函数里可以看出数据包结构很大
还有需要看一下数据包是否存在内存泄露问题:下图红框位置pop edi,很明显没有内存泄露问题,不需要管
总结:
三个重要的函数:第一个获取一个空数据包函数
(0x914B8D位置调用的0x12A3AB0+0x24函数,有两个参数第一个参数是操作类型,第二个参数不知道是什么跟它一样传0就好)
第二个是我们要发送的数据组装到数据包的函数
(0x914C1E位置调用的0x47F550函数,它有两个参数,第一个参数是数据,第二个参数是数据长度)
第三个是发送数据包函数
(0x914C2F位置调用的0x12A3AB0+2C,只有一个参数,它的参数是组装好未加密的数据包)
扫一扫
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
