用OD跟踪金山游侠的部分代码并用汇编还原其功能

最新推荐文章于 2022-02-20 19:12:46 发布
最新推荐文章于 2022-02-20 19:12:46 发布
阅读量1.1k 收藏
点赞数
分类专栏: 我的文章 文章标签: 汇编 金山 测试 c null 语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xbin8/article/details/2158769
版权

这是偶无聊的时候跟踪金山游侠的部分代码,并用汇编根据其程序流程写出了完整的代码,就当练练手吧!

0041EC32  /.  55            push    ebp                                        ;后面要用EBP读堆栈找外部参数所以就要先保存EBP
0041EC33  |.  8BEC          mov     ebp, esp                                   ;用EBP读堆栈,以为ESP在不断变化
0041EC35  |.  51            push    ecx
0041EC36  |.  56            push    esi
0041EC37  |.  57            push    edi                                        ;以上为保存3个寄存器的值
0041EC38  |.  FF71 20       push    dword ptr [ecx+20]                         ; /打开的进程ID,第三个参数
0041EC3B  |.  6A 00         push    0                                          ; |句柄是否可以被继承,0为不继承,第二个参数
0041EC3D  |.  6A 10         push    10                                         ; |打开进程权限,这里是读权限,第一个参数
0041EC3F  |.  FF15 78F34500 call    dword ptr [<&KERNEL32.OpenProcess>]        ; /打开进程函数,要使用就得先打开
0041EC45  |.  8BF0          mov     esi, eax                                   ;  把EAX中的返回句柄保存到ESI中
0041EC47  |.  85F6          test    esi, esi                                   ;  测试ESI,就是看函数是否执行成功
0041EC49  |.  74 35         je      short 0041EC80                             ;  不成功的话跳到子程序末尾
0041EC4B  |.  8B7D 10       mov     edi, dword ptr [ebp+10]                    ;  把外部第3个参数保存到EDI
0041EC4E  |.  8D45 FC       lea     eax, dword ptr [ebp-4]                     ;  PUSH ECX时在内存中的值
0041EC51  |.  50            push    eax                                        ; /返回实际读取数,第五个参数
0041EC52  |.  57            push    edi                                        ; |要读写的字节数[EBP+10]中的值,第四个参数
0041EC53  |.  FF75 0C       push    dword ptr [ebp+C]                          ; |接收读取数值的缓冲区,第三个参数
0041EC56  |.  8365 FC 00    and     dword ptr [ebp-4], 0                       ; |把返回实际读取数缓冲区初始为0
0041EC5A  |.  FF75 08       push    dword ptr [ebp+8]                          ; |起始地址,第二个参数
0041EC5D  |.  56            push    esi                                        ; |句柄,第一个参数
0041EC5E  |.  FF15 74F34500 call    dword ptr [<&KERNEL32.ReadProcessMemory>]  ; /读进程内存
0041EC64  |.  85C0          test    eax, eax                                   ;  测试函数返回值
0041EC66  |.  74 11         je      short 0041EC79                             ;  不成功的话跳到子程序末尾
0041EC68  |.  397D FC       cmp     dword ptr [ebp-4], edi                     ;  比较设定读取长度和返回长度是否一样
0041EC6B  |.  75 0C         jnz     short 0041EC79                             ;  不一样的话跳到子程序末尾
0041EC6D  |.  56            push    esi                                        ; /进程ID,第一个参数
0041EC6E  |.  FF15 A0F34500 call    dword ptr [<&KERNEL32.CloseHandle>]        ; /结束进程
0041EC74  |.  6A 01         push    1                                          ;把1压入堆栈
0041EC76  |.  58            pop     eax                                        ;把刚才的1弹到EAX
0041EC77  |.  EB 09         jmp     short 0041EC82                             ;无条件跳
0041EC79  |>  56            push    esi                                        ; /进程ID,第一个参数
0041EC7A  |.  FF15 A0F34500 call    dword ptr [<&KERNEL32.CloseHandle>]        ; /结束进程
0041EC80  |>  33C0          xor     eax, eax                                   ;EAX清O
0041EC82  |>  5F            pop     edi
0041EC83  |.  5E            pop     esi                                        ;把先前保存的EDI和ESI还原
0041EC84  |.  C9            leave
0041EC85  /.  C2 0C00       retn    0C                                         ;返回并清理堆栈中12个字节

 

以下是用汇编写的代码,为了大家能看懂我没大量使用汇编指令,我使用高级语言的结构描述
_myReadProcessMemory    proc   uses edi esi lpBaseAddress,lpBuffer,dwSize ;
                       local  @lpNumberOfByteRead                         ;局部变量,保存返回读取的实际字数

                       invoke  OpenProcess,PROCESS_VM_READ,NULL,          ;以读的方式打开进程,最后一个参数是进程句柄我没写,因为我不知道push dword ptr [ecx+20]是怎么得到进程句柄的,谁能告诉我?
                       mov     esi, eax                                   ;把EAX中的返回句柄保存到ESI中
                       .if  esi == 1                                      ;判断函数是否执行成功
                            mov  edi,dwSize                               ;把dwSize参数保存到EDI
                            lea  eax,@lpNumberOfByteRead                  ;把@lpNumberOfByteRead地址装到EAX里
                            invoke  ReadProcessMemory,esi,lpBaseAddress,lpBuffer,dwSize,eax  ;读内存
                            .if eax == 1                                  ;判断函数是否执行成功
                               .if @lpNumberOfByteRead == edi             ;比较设定读取长度和返回长度是否一样
                                       invoke  CloseHandle,esi            ;结束进程
                                       push 1                             ;把1压入堆栈
                                       pop  eax                           ;把刚才的1弹到EAX做为返回值,因为程序返回时默认把返回值压到EAX中
                                       jmp  _end                          ;条到结尾
                               .endif
                            .endif
                            invoke  CloseHandle,esi                       ;结束进程
                        .endif
                        xor eax,eax                                       ;EAX清O,因为程序返回时默认把返回值压到EAX中,返回0说明没执行成功
_end:
                        ret                                               ;返回
_myReadProcessMemory    endp

 

BY:晓斌
QQ:6750333 

xbin8
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OD跟踪调试与技巧(外挂编)
07-23
OD跟踪调试与技巧(外挂编),好东西不断有,我也正在学习OD内挂
ARC_OD_局部变量
weixin_30251587的博客
05-30 78
1、代码位置: 01127F30 >/$ 6A FF PUSH -1 01127F32 |. 68 51752201 PUSH CEGUIBas.01227551 01127F37 |. 64:A1 0000000>MOV EAX,DWORD PTR FS:[0] 01127F3D |. 50 PUSH EAX 01...
od跟踪和run跟踪
期待下集是个可爱梦儿
03-11 1691
<br />一、单步进入(F7)遇见CALL就进!进入该子程!行话:"跟进去"<br />单步跳过(F8)遇见CALL不进去!不去管子程的内部!第一次粗跟的时候常用!<br />执行到返回(ALT+F9)就是执行到该子程的返回语句!<br />单步执行与自动执行[Step-by-stepexecutionandanimation]<br />您可以通过按F7(单步步入)或F8(单步步过),对程序进行单步调试。这两个单步执行操作的主要区别在于:如果当前的命令是一个子函数,按F7,将会进入子函数,并停在子函数的
金山游侠
weixin_33713350的博客
05-13 232
金山游侠,可以修改老游戏的游戏修改工具,新游戏好像不能用 转载于:https://blog.51cto.com/ribut9225/564846
OD hit跟踪 run跟踪使用问题
zhangmiaoping23的专栏
08-26 1856
转:http://bbs.pediy.com/showthread.php?p=1044958 学习OD不久,现在使用HIT跟踪 run跟踪功能,在我的程序里碰到点问题,还请赐教 选了一部分代码添加到HIT跟踪,在选的代码处设置断点,程序运行到断点,按单步跟踪,当执行到第二个PUSH时,程序就退出。我换了个自己写的简单程序,也有这个问题,是不是我的OD设置有问题?还是程序问题问题?
OD汇编转易语言置入代码
07-15
OD汇编转易语言置入代码 非常好的工具 源代码 无模块
语言源码易语言OD汇编源码.rar
03-30
OD汇编是逆向工程中的一个重要工具,通常指的是OllyDbg(OD)软件,它是一款功能强大的Windows平台下调试器,常用于程序分析、漏洞挖掘和代码调试。将易语言源码与OD汇编相结合,我们可以深入理解程序的运行机制...
插件 转载三个好用od插件 很好用
最新发布
03-16
OllyDisasm201插件功能简介: 1、把OD2.01的反汇编引擎替换到OD1.1上 DisasmMode 简介: 1、Replace unidentified 仅替换OD1.1不认识的指令,推荐使用此模式 2、Replace all 完全替换,一般情况不建议使用此模式 3、...
语言OD跟踪
07-22
语言OD跟踪源码,防OD跟踪,初始化函数,写整数,结束自身,数据加密,数据解密,GetModuleHandle,GetProcAddress
汇编到字节集.rar
09-04
汇编到字节集:OD插件与代码转换技术详解》 在计算机科学的世界里,汇编语言和字节集是两种基本的代码表示形式,它们各自在不同的层面上发挥着关键作用。汇编语言是一种低级编程语言,它与机器语言紧密相连,提供...
三款游戏内存修改工具源代码
05-31
MemEdit0.2.rar (需要RX6控件) 侯思松先生写的 一个快速的游戏修改工具的Delphi6源代码金山游侠之类的很接近,速度较快。
OD 跟踪调试经验
whl0071的专栏
02-20 851
如你要跟ebx,跟到某层遇到mov ebx, [ebp-430]之类的,不用讲,局部变量,此时在ebx下断,看ebx的值,再ctrl+f9, f8,到上一层看是怎么传进来这个参数的。比如是最后一次push传进来的,就向上一直跟最后一次push的寄存器。 向上跟数值时,遇到ebp,esp之类的,一定要仔细看。仔细分析堆栈。并不要认为上一个函数一定是堆栈平衡。 遇到跟数据是跟ecx的,一般情况,都很向上跟很多层,因为在面向对象语言中,对象指针都用ecx寄存器存放,而对象指针在函数中很重要...
【逆向跟踪】OllyDbg的条件断点字符串和文件读写
Walter的专栏
03-20 8397
原文:http://bbs.pediy.com/showthread.php?t=173334做了些补充。 大牛直接无视好了 网上关于设置字符串断点的文章不多,但是这个又是一个非常实用的功能。 拍砖请轻轻的 VCDebug VCDebug 微软VS自带调试器套件,对字符串断点的支持依然强大。 VC支持在断点条件中使用字符串比较函数。 ASCII字符集字符串断点设置
金山游侠修改内存
wwhhff11
04-24 3048
对于单机游戏来说,所有数据都是在内存和硬盘上的,所以单机游戏实际上是有内存修改器和存档修改器两种。只不过修改的位置不同,技术上来说都是大同小异,就是直接修改游戏数据。制作技术不外乎两种,一种是直接分析游戏主程序对应的反汇编代码,找出关键位置。另一种则比较简单,是通过游戏中数据的变化,来找到对应位置。比如金山游侠中的内存搜索,就是通过搜索内存中某个数值的变化来确定内存地址从而修改数值的(实际上只要把游
华为OD机试真题详解与代码示例
华为OD机试真题包含两道编程题目,主要考察的是字符串处理和矩阵计算的技能。首先,一道题目是关于连续输入字符串并按照指定长度(8字符)进行拆分,并对不足8字符的字符串进行填充。该问题旨在测试考生的字符串操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值