注册会员 登录
aardio官方社区 返回首页

ljtnine的个人空间 http://bbs.aardio.com/?275 [收藏] [复制] [分享] [RSS]

日志

简单网络游戏远程call分析及调用

热度 16已有 10249 次阅读2012-4-25 12:52

看到论坛有个远程call学习程序,遂下来做下分析。

1、运行程序,OD附加。

1

 

2、命令行输入“bp send”下wsock socket断点,点击学习程序的“物品”按钮,断了下来

2

3、ctrl+f9回溯,即跳出函数到上一层代码中

3

从call的地址可以看出此时代码仍在系统函数中,再按一次ctrl+f9。

4、仍在系统函数中,继续ctrl+f9.4

5、这一步找到2个位于程序中的比较可疑的地址。

5

6、分别下断,并在断点列表中把bp send断点删除掉

6

再次点击“物品”按钮,发现2个断点都成功断了下来。来分别测试下。

7、第一处call,测试成功。第二处测试失败。至此已经找到了物品的call。

 

7

 

 

8、下面找经验call,步骤同上。找到了疑似经验call的地址。发现有寄存器的值入栈了,说明这个获取经验的函数是有参数的。

 

9

9、下断,并点击“经验”按钮,成功断下来。od寄存器窗口中显示eax的值为0x0012F478。这个值就是经验函数的参数了。

10

10、用“代码注入器”测试一下。汇编代码为:

mov eax,0012F478

push eax

call 004020C0

 

测试成功。

11

11、aardio代码实现。

import win.ui;
import process

/*DSG{{*/
var winform = ..win.form( bottom=108;parent=…;right=192;text=”aardio Form” )
winform.add(
button={ bottom=73;text=”得到物品”;left=10;top=38;z=1;right=75;cls=”button” };
button2={ bottom=71;text=”得到经验”;left=91;top=40;z=2;right=152;cls=”button” }
)
/*}}*/

winform.button.oncommand = 
function(id,event){
    
var procs = process.find(“网络游戏.exe”)
    
var getGoods = procs.remoteApi(“void()”,0x00401F20)
    getGoods();
}
winform.button2.oncommand = 
function(id,event){
    
var procs = process.find(“网络游戏.exe”)
    
var getExperience = procs.remoteApi(“void(int n)”,0x004020C0)
    getExperience(0x0012F478)
}

winform.show()
win.loopMessage();

 

测试成功

image

“网络游戏”下载地址:网络游戏

本文固定链接: http://www.ninecmd.com/archives/180 | NINE的博客

2

路过

鸡蛋
7

鲜花

握手

雷人

刚表态过的朋友 (9 人)

发表评论 评论 (9 个评论)

回复 qqmmcc 2012-4-25 18:47
谢谢分享,学习~
回复 aiwen 2012-4-25 20:41
不错,提供了od和aau配合的例子
回复 mssss123 2012-5-8 11:15
mov eax,12F478
push eax
mov ecx,258888
mov ecx,[ecx+160]
add ecx,80
mov [ecx],-1
call 004020C0
请问下上面多参数的,怎么写?谢谢
回复 ak47xxx 2012-5-11 09:12
强烈建议多点这方面的交流。我现在正在做这方面的入学工作。
回复 fen 2013-2-3 22:14
少有的好例子
回复 zhangxq 2013-5-25 17:39
太厉害了。
回复 ╰簬飝_⑤⑥壹╯ 2013-9-10 10:31
   牛啊。。
回复 fatspider 2013-9-13 10:56
谢谢共享。支持
回复 candc2 2013-9-14 17:59
汇编代码好像没写出来?

这样不就会参数不对了?

手机版|未经许可严禁引用或转载本站文章|站长邮箱|aardio.com|aardio官方社区 ( 皖ICP备09012014号 )

GMT+8, 2017-5-24 10:22 , Processed in 0.062500 second(s), 15 queries , Wincache On.

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

返回顶部