OD菜鸟的福音(经典讲解CALL的找法)

第二课：找CALL的基本方法
1、玩游戏：当我们拿到一个游戏，不管是单机游戏还是网络游戏（没有驱动保护的那种），我们首先得要会玩这个游戏，不说很精通，但是至少得要知道怎么玩！而且在玩的过程中慢慢经验丰富了也就可以快速找到突破口！
2、找基址：前一课让你们学习了CE，现在这一步就是用CE查找基址，比如说人物的血值，蓝值等，这些信息对于找CALL很有用的，特别是蓝值，对于找技能CALL特别重要，不说要找到基址，至少也要找到存放蓝值的地址,但是要注意，有的游戏的地址并不好找（有可能是浮点数或者加密的或者是动态的）
3、找CALL:根据找到的地址，通过寻找操作的指令，然后用OD到CALL附近，最后找到关键CALL （这个过程最难）
4、写外挂：找到了CALL，我们就要写CALL，我们用E语言来写，比较简单！
5、调试：外挂很难一次性成功，所以我们要调试！
6、体验成果!!
下节课：实例：找XP扫雷游戏开局CALL。

寻找CALL的教程2009-04-03 12:49说一说一个简单的找call原理其实游戏中的call是有一定规律的，这个规律是什么？1、调用之前，必定有call名入栈，什么，不知道如何看堆栈有哪些内容。

很简单啊，按alt＋k就看到了2、系统进程空间，一般都可以忽略，那么，哪些是系统进程呢，我自己也分不太清，但是NTDLL，USER32，WS_S32等一般都是系统进程空间，在od的状态栏上就可以分辨出来。

举个例子：ZX中找死亡回程call一、在弄死小号后，先下了 BP SEND指令，od中断下来，按ALT＋K，看到的堆栈情况是这样的：地址堆栈函数过程 / 参数调用来自结构029FFEC8 00572860 WS2_32.send elementc.0057285A029FFECC 000006BC Socket = 6BC029FFED0 06D1F2A8 Data = 06D1F2A8029FFED4 00000003 DataSize = 3029FFED8 00000000 Flags = 0029FFEE8 00578BE7 包含elementc.00572860 elementc.00578BE4029FFEF0 00578827 elementc.00578BB0 elementc.00578822029FFF38 005785DE ? elementc.00578640 elementc.005785D9029FFF48 00577128 包含elementc.005785DE elementc.00577125二、然后F9让游戏正常，再回到游戏中，按下“回城”三、od中断下来，再按alt+K，看到的堆栈是另外一个样子了：地址堆栈函数过程 / 参数调用来自结构0012F3B4 00581775 ? elementc.005898B0 elementc.005817700012F3C4 00583F75 ? elementc.00581740 elementc.00583F700012F400 005A8CF6 ? elementc.00583ED0 elementc.005A8CF10012F410 0057E701 ? elementc.005A8CD0 elementc.0057E6FC <<<<<<<<<<<<< 0012F420 00509E80 elementc.0057E6C0 elementc.00509E7B0012F424 006C6527 包含elementc.00509E80 elementc.006C65240012F444 006C647C elementc.006C64B0 elementc.006C64770012F45C 006C8F0E 包含elementc.006C647C elementc.006C8F0B0012F464 0054A432 elementc.006C8F00 elementc.0054A42D0012F47C 006C236B 包含elementc.0054A432 elementc.006C23680012F494 006C269B elementc.006C22C0 elementc.006C26960012F4E0 006C93AA ? elementc.006C2380 elementc.006C93A50012F55C 00549BBB ? elementc.006C8F50 elementc.00549BB6四、如果用CTRL+F9跟踪，很容易发现，前三个都是在WS32系统进程空间，所以，第4个，做了个标记的那里，就是死亡回程call了希望大家多多实践，注意观察。

10授人以鱼不如授之以渔●CALL入门篇二:CALL的寻找与分析*所谓的call,其实本质上来说就是一条汇编指令.*只要找到了关键代码的地址，传入适当参数，就可以借用游戏中已有功能来完成内挂的功能。

目标：武易的喊话CALL目的：以喊话CALL更深入了解所谓的CALL参数.问:写一个CALL,如何传入适当的参数?什么是适当的参数?是不是一定要按照反汇编代码来写?好了,废话就不说了, 用OD载入游戏,武易并下bp send 断点.在游戏中喊一句话,OD便断了下来.好了,这里我们已经非常熟悉了,是send函数的内部, 我们再来看看堆栈中的情况其中11111111 是我喊出去的话的内容,喊话CALL一般比较好找,因为有比较明确的数据好了,我们按CTRL+F9 返回这里是第一层,这里是游戏调用send函数的发包的位置,这里也不说了我已经在前面几篇详细的介绍用法.我们继续返回好了,我们又来到这一层,这里在上篇找打坐中也出现过,非常眼熟吧. 这里一层应该是封包组合之类的CALL 我们暂时跳过它.这一层中,我们也在上一篇遇到过,上次断下来后是压入的加密后封包的内容.还有一个应该是时间戳一类的东西.(这里也是猜的,因为不经过深入分析,是无法确认最终的作用.)*时间戳是根据时间的变化而变化的一个数值,经常被用来加在封包内,来检测封包达到前后,或者用来验证封包的真伪.好了继续返回.到了这一层,这里OD显示了压入的封包地址中有我们喊话的内容(因为写教程的原因不能暂停太长时间所以又喊了一遍,内容可能跟上面不同)0047218F 68 F0A77001 push 0170A7F0 ; ASCII "1111111111111"这里有一个地址里面的内容是我们的喊话内容,我们来测试下这个CALL是不是我们要找的喊话CALL===========================CALL分析=====================0047218F 68 F0A77001 push 0170A7F0这里压入了我们喊话的内容指针地址,这里到我们手里该怎么写呢? 是否一定要按照这个地址来写入我们的喊话内容呢? 其实不然,我说过,一个CALL只要压入适当的参数,他这里需要的是一个喊话内容的指针地址,而并非一定要系统指定的,所以我们可以自己找一个空白的, 或在语言定义一个变量然后取他的指针地址来压入堆栈都可以.这里我说一个用CE+代码注入器写喊话CALL的方法.用ce 写入我们的喊话内容. 并用代码注入器调试.随便取一个地址,将类型改变为文本型然后内容变成我们要喊话的内容这里参数只有一个我们已经弄好了, push 4ED056 (4ed056是我选的喊话内容地址,这里保存着我的喊话你让)00472194 E8 D7B9FBFF call 0042DB70这里是CALL的地址 . call 0042DB70写完参数和CALL地址后我们还要干嘛?当然是看CALL内部是否需要调用寄存器.我们来看看CALL内部调用了什么寄存器,我在前几篇中用过很多次这种方法来找CALL所需要的寄存器.其实所谓的适当的参数就是如此,你想要什么我就给你什么~~当内部CALL 出现这种,mov ebx,eax 或者push eax 这个时候我们往上面看看有没有给EAX赋值的指令,如果没有的话,那么我们需要给EAX赋值了. 因为EAX 本身并不带数据,除了几个特殊的寄存器外,寄存器本身就是用来给我们存放数据的,他本身并没有数据.0042DB7D 50 push eax 我们在第四行找到这样一句,但是上面有一行给EAX赋值的指令所以EAX一句不需要我们来赋值了.0042DB83 64:8925 0000000 mov dword ptr fs:[0], esp ESP 是堆栈指针, 永远指向栈顶,属于特殊寄存器,所以也不需要赋值.0042DB8E 53 push ebx 这里有一句,上面并没有赋值,我们来看看他的值是多少,喊一句话进入CALL之后发现EBX 一直=0 . 在这里我们先写入EBX的值=0 (经过后来我们测试发现不用给EBX赋值也不会出错,这个可能是因为这里的PUSH EBX 只是保存寄存器环境用来恢复,或者说寄存器本身的值为0 不需要写入他也等于0 . 我认为前者可能大一些)好了其他就没了 .我们来整理下push 04ED056call 0042DB70add esp,4 不要忘了堆栈平衡压入一个堆栈ESP+4这里我们没有压入EBX的值也没有出错看来PUSH EBX 是用于保存寄存器环境.频道的选择: 这里我们发现压入的数值并没有频道的参数,如何选择频道呢?这个时候我们就要不停的测试来看看他是如何选择频道的. 首先我们在游戏的聊天频道换成喊话,在调用刚刚的CALL, 我们发现,喊出来的频道是喊话的频道.这个时候我们觉得应该是把频道参数放在某一内存地址里然后调用喊话的时候在判断是哪个频道.如何用搜索频道所在内存地址呢?用模糊搜索, 首先搜索未知数值, 然后变化频道搜变化的数值然后重复就可以了(这里跟找血的基址一样)这里我们发现有一个 1 , 数值很小我们变化一下频道内容发现当选择不同的频道都有固定的值.这个时候我们就可以确认这个是频道的内容,我们换下他的值,然后调用喊话发现已经在其他频道喊了.这里改成3以后在帮派频道喊话, 不过我没有加入帮派所以不能喊话.=============================分析结束=================好了今天的喊话CALL就到这里.在这里有个不好的消息,告诉大家.其实这里的CALL地址在不同的电脑上地址也是不同的...如下图所示(下图是同一版本,同一区不同电脑返回4层后的CALL)发现了吧,参数是一样的但是CALL地址却不同.这里还是跟上一篇的一样.看来这个游戏有点诡异啊...人生就是如此,你做了很多努力,你还是会发现原来你做的都是无用功...好了今天就讲到这里,我们来总结一下总结:* CALL的参数地址并不需要CALL本身参数的地址.我们只需要给他想要的,就可以调用这个CALL为我们所用文中我们所调用的这个CALL,传入的并非是他原型中的地址, 却能正确调用,那是因为这个CALL的适当参数是给CALL一个有喊话内容的地址,而CALL是不会管这个是不是原来的,所以这个CALL的适当参数是压入一个喊话指针地址,便可.。

找call图文教程
打开"游戏找CALL练习实例one.exe"，打开OD，附加"游戏找CALL练习实例one"进程。

以下几步是边学边用的：
F9运行。

输入bp send,回车，这样发包函数被设成中断。

点“吃血”，OD在发包处中断。

游戏中一个具体的功能都会设成一个具体的过程或函数，在游戏主程序运行时，相应功能的实现都会有一个Call，找Call就是为了找功能入口。

OD中按Ctrl+F9，是返回（retn）。

返回到哪里？看下图中画圈处。

找游戏Call就要在游戏模块中。

不在就Ctrl+F9...
按Ctrl+F9，按会找到一个retn,往上看看会有个Call。

看教程说按到第五层。

找到的是加血的。

照做。

看下图。

怎么知道是不是加血call？
这里设上断点，然后光标移到别处。

按运行...按吃血，吃蓝。

挨下试，看那个能中断到这里，（先把原来的中断去掉，如下图，红色总分点右键删除。

）只有加血能到这里，这个CALL 就是加血的。

要进一步确认，就可以注入代码测试。

下图红框中的代码，注入发现不成功，这里反复了好几次。

我把右边的寄存器的值也写上了一些再试....注入远程代码。

OK成功了！！
成功了的心情，无法言表。

压抑越久，喜悦越大，但这还是因为自己的水平太** 如果你也像我一样，反复做不成，但愿这篇文章给你启发，那怕就一点。