冰楓論壇

標題: 请各位大大帮我解惑一下找hook點的方法 [打印本頁]

作者: ningmeng 時間: 2021-10-24 22:42
標題: 请各位大大帮我解惑一下找hook點的方法
比如 ptr 大大發的227.1的近戰無延遲

[Enable]
Alloc(MashGND_CheckESP, 1024)
Label(MashGND)
Label(hook)

MashGND_CheckESP:
cmp [esp+134],029AABE7
jne RtlSetLastWin32Error
mov [esp+134],MashGND
jmp RtlSetLastWin32Error
............
中間省略
............
039DF2EC:
DD MashGND_CheckESP

[Disable]
039DF2EC:
DD RtlSetLastWin32Error
DeAlloc(MashGND_CheckESP)

我先說一下我的做法：029AABE7这个地址是我们需要比较的地址，我会去它的上方的call，跟踪进去，去里边看是否有地址和039DF2EC相同的，但是我并没有发现，按照我对ICS的理解来说，在我们需要操作的代码的上一层或者上两层，应该会有一个winApi的call，来让我们对我们修改操作的代码，来做一个hook，但是我并没有发现有调用这个039DF2EC地址的地方，最相近的一个是

029AABD5 - E8 76377CFE          - call 0116E350 跟踪進去
029AABDA - 50                         - push eax
029AABDB - 8B 95 E8ECFFFF       - mov edx,[ebp-00001318] : [00000000]

029AABE1 - 52                   - push edx
029AABE2 - E8 A9C0FDFD          - call 00986C90

029AABE7 - 83 C4 1C             - add esp,1C       // 需要比较的地址

我跟踪進去後到這裡
0116E39B - E8 E42B2F02          - call 03460F84 再在这个地方跟进去

最後在這裡找到了一個相近的地址
03460FE3 - FF 15 3CF29D03       - call dword ptr [039DF23C]
但是它並不是我所需要的 039DF2EC

我想知道的是，怎麼找出這個地址的
039DF2EC:
DD RtlSetLastWin32Error

请各位大大帮我解惑一下找hook點的方法

作者: qwas963563 時間: 2021-10-24 22:48
谷哥搜索下很多資源的
CRC 轉 ICS

作者: yutsaihsieh 時間: 2021-10-24 23:53
看起來你應該要追蹤00986C90才對你可以試試看

作者: lgf328 時間: 2021-10-25 07:44
受教，晚上也去找一個這個HOOK點，

作者: 麗麗 時間: 2021-10-25 09:12
ce不是有trace功能吗？跟一下上面的call就好了

作者: ke90927 時間: 2021-10-25 19:57
本帖最後由 ke90927 於 2021-10-25 20:00 編輯

029AABE7这个是你自己
039DF2EC这个是亲兄弟的儿子，儿子的孙子的孙子，孙子，孙子，孙子。。。
然后就是在孙子哪一行有他，这个话有点粗鲁。懂的一看便懂！不懂的自然不懂！
029AABE7然后这个上面的CALL就是爸爸，你爸爸生了你大哥，然后你大哥生了儿子。
就在他儿子生儿子的地方有个039DF2EC

作者: ningmeng 時間: 2021-10-27 00:24
終於是找到了，嵌套了5層；正向地來還原這很長一段彙編，其實就很簡單了，首先進去第一個call，通篇的比較，比較什麼呢，我猜想是比較動作從哪裡來，來了之後，再去第二層的call，經過判斷之後，jne跳到一個地址，直接又是一個call，跟進去，最近的那個call，再跟進去，就找到了。謝謝各位大佬的指點

作者: kero0805 時間: 2021-10-29 03:31
请问大大怎么从0开始学习这些内容？有什么教学的关键词可以搜索，或者视频可供参考学习吗？最近cms好像都不更新了，想自己学习看看。提前谢谢你~

作者: kero0805 時間: 2021-10-29 09:42

kero0805 發表於 2021-10-29 03:31
请问大大怎么从0开始学习这些内容？有什么教学的关键词可以搜索，或者视频可供参考学习吗？最近cms好像都不 ...

当然，一开始对这些很感兴趣才会有学的想法，因为论坛大佬们更新得太勤快了，拿来就能用，所以一直没舍得花时间学哈哈哈。大佬可以提供几个关键词我搜索吗？现在会ce的debug，但是不是很懂分析哪条数据对应什么功能，也不知该怎么下手。谢谢了

作者: kero0805 時間: 2021-10-29 09:58

kero0805 發表於 2021-10-29 09:42
当然，一开始对这些很感兴趣才会有学的想法，因为论坛大佬们更新得太勤快了，拿来就能用，所以一直没舍得 ...

了解！谢谢你！

歡迎光臨冰楓論壇 (https://bingfong.com/)