看流星社区

 找回密码
 注册账号
查看: 3308|回复: 1

用OD查找喊话CALL的过程

[复制链接]

该用户从未签到

发表于 2013-3-25 10:13:07 | 显示全部楼层 |阅读模式
调用的代码地址在这里:
004BF823   |.   56             push     esi                               ; /Arg2
004BF824   |.   50             push     eax                               ; |Arg1
004BF825   |.   E8 A6F60B00   call     0057EED0                         ; \elementc.0057EED0

Arg2是喊话的内容
Arg1是喊话的类型

call     0057EED0   //这个就是CALL的地址

类型暂时找到如下(没灵犀暂时不试世界频道的类型了):
924100是当前频道
924102是组队频道

======================================================================

下面是用OD查找的过程:
用OD打开进程以后登录人物跑到一个空地,确保一切正常以后回OD下断(bp send)
测试了一下就算什么都不操作,OD也会每隔几秒断到一次send

乘这个基本固定时间中断的一次结束以后在聊天窗口里打句话发送,OD成功断下
断在007682A6(WS2_32.send)上面
(打bp send当然是断在send上面啦,然后层层退出去找我们要的)

敲一次ctrl+F9,地址转到了0058446E
00584459   |.   8B0D ACCB9000 mov     ecx, dword ptr [90CBAC]
0058445F   |.   6A 00         push     0                                 ; /Flags = 0
00584461   |.   6A 01         push     1                                 ; |DataSize = 1
00584463   |.   68 E8399000   push     009039E8                         ; |Data = elementc.009039E8
00584468   |.   51             push     ecx                               ; |Socket => FC
00584469   |.   E8 383E1E00   call     <jmp.&WS2_32.#19>                 ; \send
0058446E   |.   EB 07         jmp     short 00584477                   ;   第一次跳出来的地方,上面一行就是send的调用

4个参数OD都帮我们注释清楚了,还不明白可以找windows socket相关的文章来看看send的调用

再敲一次ctrl+F9,回到再上层调用地址
0057C6C5

再按ctrl+F9退一层,就到了004BF82A,而这行的上三行,就是最终找到的喊话call的调用
004BF823   |.   56             push     esi                               ; /Arg2
004BF824   |.   50             push     eax                               ; |Arg1
004BF825   |.   E8 A6F60B00   call     0057EED0                         ; \elementc.0057EED0
004BF82A   |.   8D8D D0FAFFFF lea     ecx, dword ptr [ebp-530]

怎么确定的? 部分是猜测,事先知道了喊话call是2个参数的,省了不少麻烦。

地址换版本变了,不过还是找出来了。

取消send的断点,然后
在004BF825上按F2下断,验证一下.
聊天窗口里喊1234567,成功断在004BF825

此时寄存器里数据为:
EAX 00924100 elementc.00924100
ECX 033B1C68
EDX 0C3C6BFC UNICODE "123567"
EBX 066CF6E0
ESP 0012E6DC
EBP 0012F420
ESI 0C3C6BFC UNICODE "123567"
EDI 00000002
EIP 004BF825 elementc.004BF825

注意这2个
ESI 0C3C6BFC UNICODE "123567"
EAX 00924100 elementc.00924100

一切尽在不言中了。

事前如果没任何提示也没有参考怎么办,只能一层一层退,一个一个call上下断然后看寄存器,大概...
只是我的方法,如果谁有更好的方法,欢迎一起讨论。

该用户从未签到

发表于 2022-5-4 11:55:51 | 显示全部楼层


































































{2022年4月07日 }2022夏季,全球 崩 盘,三 峡 溃 坝

{2022卝年4月07曰 }2022夏季,全球 崩 盘,三 峡 溃 坝



作者 : 穆佟锕
时间:  2022卝年4月7曰 17:25:24           星期四         农历三月初七
           上正宗指 3236.70点    恒指 218О8.⑨8点   道指34496.51点
            世界卫生曰



突然的,全球 金 融 市 场 连 续 跌 停 大 崩 盘,
没有什么,谁也没想到啊,友邦惊诧,黑 天 鹅 白天鹅 哥斯拉,
一切都是,蓄 谋 已 久 的精心策划。zéi 喊捉zéi。


{一} 今时今曰{壬寅2022卝年4月07曰 } :
今时今曰,我预.测,人类有始.以来最大的金.融.崩 盘 ,
未来三个月之内,即,2020卝年5月、6卝月、7月,将 震 撼呈 现。
---- 中卝囯股市、全球股市、全球金融市场 连序跌婷大崩 盘 , 大盘连
       续或稍稍间断30/40多个跌亭板,人类有.史以来最大的金融.嗨啸。
股市、汇市、债市、期货商品、可能还有楼卝市,全部连卝锁式彻底崩溃。
黄 金 价 格 应 该 避 险 bào 涨。
忽 然 之 间 ,天 塌 了。{ 全 球 闪 崩 }
十 八 级 金融大 地.震,史无前例地球崩卝盘,要 多 惨 有 多惨,世界沫曰。
金融天坑,股市雪崩、铡 dāo 斩 首 、bào 雷 溃 坝 ,希 特 勒 巴巴罗萨
金融闪击战 。画 皮 ,终 于 撕 去 了 。
道琼斯,憋了13年的一泡shǐ,2022夏季,总算找到了,公共厕所。
缠中说禅16年之前预卝言的,2019毁miè性下跌。{有三年误差}
已故“周期天王”周金涛的,“2018年到2019年是康波周期的万卝劫卝不卝复之年”。
以金.融战.争为表现形式的,第 叁 次.世.戒.大.战,全面 bào.发。
       天王山之战 ;安史之乱。 大 气 候 小 气 候 。
---- 庄家航母集群,发动了总冲锋,终于 动 手 了,老大{ 暗 黑 帝卝囯 }岂容
      老 贰 一步步做大 :咬 牙 切 齿寝食难安笑脸。当年是苏联,今天
从不,预 先 通 知 。



祸不单行,今时今曰,我断言,
2022卝年5月、6卝月、7月发生的全球 崩 盘 将因果触发,很快触发,
人类有始.以来最.大.人.祸 ---- 三.侠.溃.坝 ---- 意料之外情理之中的,三卝峡
大坝突然彻底崩溃。
或许还有,其它 水 库 大 坝 、例如白鹤滩等的,彻 底崩 溃 。
一 片 汪 yáng ,一夜,一夜之间,中 囯 淹 sǐ 2000万 人。
一 片 汪 yáng ,一夜,一夜之间,中 囯 淹 sǐ 2000万 人。
我表述的,够不够,清楚 ??
我知道,“全 球 最 大 崩 盘”将触发“三 峡 溃 坝”,这一论断,几乎令
所有人嗤之以鼻。
请 ---- 时刻密切关注 三 峡 大 坝,关注种种“异象先兆”是否出现。
就像,1975年О8月О8曰,驻马店,板桥水库、石漫滩水库等60座水库连卝锁
溃 坝 之前的,种种征 兆;
就像,1976年7月28曰,深 夜 唐 山 大 地 震 之前的,种 种 征 兆。
到时候,事 实 会说明一切 。
记住,"异象显现"那时,迅速逃离、逃命,应该还来得急。或许。
唯一来得急的对策,是,上游 三 峡大坝水库不顾一切xiè卝洪,下游蓄洪区
几 百 万 人 连夜转移,然后,zhà开长jiāng大堤,分liú洪水。
命悬一线,全 靠 硝 酸 甘 油。
肉腐出虫,鱼枯生蠹。怠慢忘身,祸灾乃作。
sǐ 神 ,终 于 来 了 。
转瞬之间,已 经 来 到 生 sǐ 关 头 。
2022夏中 囯 ,生sǐ玄关、红 羊 劫 ,最危险的时刻终于到了 。
{三 峡 溃 坝 大 洪 水;股市羊群效应}
浩卝劫,降临之前,从不,预先通知。



{二} 全 球 崩 盘的 见 底 点 位 。

见底点位,是上 证 宗 指160点,左右。{上证综指壹佰六十点}
---- 325.⑧9点{1994.07.29}的二分之一;
---- 6124 ---- 9⑨8 ---- 160
---- 神奇数字333的一半 :333卝点 ÷ 2 = 166.5点
以9⑨8为轴心,以6.136倍为常数的等比数列。
以今天的上正宗指收盘点位3236.70点为基准。
股市瞬间跌去20倍 。
点击按钮快速添加回复内容: 支持 高兴 激动 给力 加油 苦寻 生气 回帖 路过 感恩
您需要登录后才可以回帖 登录 | 注册账号

本版积分规则

小黑屋|手机版|Archiver|看流星社区 |网站地图

GMT+8, 2024-3-29 13:21

Powered by Kanliuxing X3.4

© 2010-2019 kanliuxing.com

快速回复 返回顶部 返回列表