利用DebuggerX定位关键CALL

最新推荐文章于 2024-10-28 09:53:40 发布
最新推荐文章于 2024-10-28 09:53:40 发布
阅读量1.3k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 逆向C++ Windows平台相关 文章标签: 框架 语言 windows ui
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/AlbertLi/article/details/8010818
文章介绍如何使用自定义调试器DebuggerX辅助定位关键CALL,以Windows计算器程序为例,通过获取函数调用列表并利用通知程序进行定位,最终找到关于界面的关键CALL实现方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最新写了一个调试器正式的名字叫做DebuggerX,界面上山寨了一部分SOFTICE的界面:)利用自己写的调试器可以辅助定位一些软件的关键CALL,这里我们拿CALC.exe来举一个例子,这个也就是Windows自带的计算器程序。我想知道这个计算器的关于的关键CALL在那个函数当中,从而了解到这个关于界面是怎么出来的。

OK,假设我不知道这个关于界面是通过什么样的函数或者调用弹出来的,这个时候我就可以借助DebuggerX的辅助定位功能来进行定位了,首先利用OD获取一下所有函数调用列表,这个地方只需要收集一下常用的就行了,例如:

以push ebp \ mov ebp, esp 开头的函数体。收集好后存到一个文本文件中去,格式就按照OD默认的格式:

然后通过DebuggerX载入这个1.txt,如下图:

接下来,通过一个通知程序开始我们关键定位的过程。

很容易地手工过滤掉UI循环调用函数两次后,就直接定位到了关键CALL处:

 

此处就是找到的关键CALL,这个时候我们可以利用OD来验证一下,直接用OD定位到地址:100565B处。

很容易验证出来,次地址为关键CALL,且找到了计算器关于按钮的实现是通过调用ShellAboutW实现的。利用这种方法跟途径可以在不知道目标程序语言框架的情况下做到80%左右的关键代码定位。这个效率还是挺可观的,当然最彻底的方法是研究不同语言的框架结构,但是这个方法在速度及效率上弥补了研究框架的不足。

 

If this call came from a _pb2.py file,your generated code is out of date and must be regenerated解决方案
weixin_43178406的博客
11-01 13万+
本文主要介绍了If this call came from a _pb2.py file, your generated code is out of date and must be regenerated with protoc >= 3.19.0解决方案,希望能对使用Python的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
一篇文章快速认识YOLO11 | 关键改进点 | 安装使用 | 模型训练和推理
黎国溥
10-08 3万+
本文分享YOLO11的关键改进点、性能对比、安装使用、模型训练和推理等内容。YOLO11 是 Ultralytics 最新的实时目标检测器,凭借更高的精度、速度和效率重新定义了可能性。除了传统的目标检测外,YOLO11 还支持目标跟踪、实例分割、关键点姿态估计、OBB定向物体检测(旋转目标检测)等视觉任务。1. YOLOv3:核心改进:YOLOv3 是 YOLO 系列的第三代,由 Joseph Redmon 于 2018 年发布,标志着 YOLO 从原始的单尺度检测进化到多尺度检测。
64位游戏call_通过调试游戏,了解64位汇编指令(二)
weixin_39664994的博客
11-20 1377
之前我们在分析游戏的内息值时得到了一个CALL的返回值,那么接下来我们到CALL去寻一下这个返回值的来源,并对遇到的汇编指令进行讲解(如图)(什么?你不知道是哪个CALL?请将上一篇文章看一遍~~~) 在CALL的位置下F2断点,我们发现这里不需要修改内息,游戏直接就会断下。于是我们在+178偏移和CALL的返回处分别下F2断点,看一下eax的值是否相同(如图)(如图) 通过两幅图对比,发现之...
call 命令问题调试
weixin_34402408的博客
10-03 527
一、call 命令问题调试 调试:在c:\根目录建立1.bat,2.bat。当调用与被调用的文件在同一个目录下时,不用制定路径。 问题(1) 新建1.bat,2.bat并放在c盘根目录 1.bat内容: @echo off echo 调试1.bat使用call调用2.bat以后是否直接从头运行被调用的批处理程序2.bat。 echo ...
DebuggerX0.3版本【主要新功能已完成】
AlbertLi
12-31 866
1、新增了附加功能(如图1): 2、能直接用IDA导出或者COPY出来的函数信息了: 测试调试都没有问题: ,下一步完善一下通知的机制,让其更加灵活。
外挂制作CALL入门-之本人CALL 
02-11 1854
====================================第一个 OD中断 bp send 中断截获数据包截获发包数据可以知道每个动作都向服务器发送什么数据注意此中断要求:调用模块WS2_32.dll==================================在OD中分析程序中有很多CALL,不是哪个CALL都能调用的{先要搞清楚,OD中领空的问题,一般有:程序领空,系统
定位call的一些思路
Doub1's Blog
05-29 911
定位call的一些思路串行化CALL事件类CALL不一定参数都需要push快速确定方法是否属于这个对象静态分析的重要性 本文不是讲如何写外挂,仅是对CALL的一些经验和思路,和外挂一切相关的东西本文都没有。 串行化CALL 什么是串行化CALL?就是整个调用链层层递进,中途没有任何任何干扰,这种CALL是最容易定位的。只要到相关内存,下个断点就能到。 类似这样:有个Rotation方法里封装了获取location,获取当前rotation,然后进行旋转,我们只需要将rotation变量在内存中到,
揭秘封包辅zhu外G:利用系统发包函数,定位功能Call(一)
奥斯卡连裆裤
07-05 2288
这个技巧严格来说和封包外G,关系不是很大,但是可以利用它无脑定位游戏功能Call,可谓是作者Call最常用的技巧之一了。那不得不说啊,正好帮助大家了解封包。 玩游戏逆向,拿到一款非FPS类型的网络游戏,第一件事情要干什么?我想应该是确定它使用那个系统发包函数与服务器沟通。 为什么?不想讲太多花里胡哨的道理。举一个单机游戏和网络游戏,释放技能流程的例子。 单机:捕捉用户键盘消息——》技能相关的几个函数——》直接释放了某某技能 联机:捕捉用户键盘消息——》技能相关的几个函数——》告诉服务器我要释放某某技能
新手逆向实战三部曲之三——通过进入关键call追码注册软件(进阶)
最新发布
vbnetcx的博客
10-28 3万+
下图的call为用邮箱算出真正注册码,即为右上角的267527263(具体算法本次不深入研究,有兴趣的可自行尝试)有了上次爆破的基础,这次便省力了许多,这次从载入开始,虽前头的几个步骤与之前相同,温故而知新嘛(也可直接往后看)一般情况关键call就在关键跳的不远处,可见这个call应该就是我们要关键call了,在此处F2下断。通过前两次的学习,是不是感觉逆向也蛮有意思的呢,感兴趣的同学可以先看看前二次的内容再继续向下学习。重载程序,重复之前的注册步骤,程序断在关键call处,进入这个call
生信学习笔记:利用GATK call SNP
ccArtermices的专栏
09-19 1万+
生信学习笔记:利用GATK call SNP SNP是指在基因组上单个核苷酸的变异,包括置换、颠换、缺失和插入。SNP在基因组中分布相当广泛,近来的研究表明在很多物种基因组中每300bp就出现一次。大量存在的SNP位点,使人们有机会发现与各种疾病,包括肿瘤相关的基因组突变。既然SNP那么广泛存在,获得SNP就变成一项重要的任务。在经历了样本收集、测序、质控和mapping后,我们输出了bam格式...
XDebugger:一个非常轻量级的库(4Kb),用于创建开发或生产调试器,其中包含人类可读的自定义错误。 包括表格格式的错误,带有动态过滤器的记录器和搜索方法
02-04
一个非常轻量级的库,用于创建具有人类可读的自定义错误的生产调试器。 包括表格格式的错误,带有动态过滤器的记录器和搜索方法。 该库具有零依赖关系,专为开发或生产环境中的调试/捕获错误而设计,并在后台获取错误,任何开发人员均可读取格式,还可以随时禁用控制台日志。 演示版 安装 npm安装: npm i xdebugger 或没有npm: <!-- In development environment --> < script src =" xdebugger.js " > </ script > <!-- In production environment --> < script src
CALL是如何炼成的,广海社区经典CALL入门,游戏CALL必备。
03-10
CALL是如何炼成的 广海社区经典CALL入门 游戏CALL必备 CHM文件
X64dbg插件跳转记录-追踪跨模块CALL自定义命令行API批量分类下断
01-20
X64dbg插件跳转记录_追踪跨模块CALL自定义命令行API批量分类下断
X64微信逆向之-查锁定微信CALL
water_1991的专栏
02-02 2334
(7)然后去跟踪数据变化里查看指令数据变化,发现寄存器有click事件字符,执行后,F8一步一步执行最后微信锁定了,因此判断锁定微信CALL就下图这几个CALL里面,然后用Nop 去掉或者一 一调用测试 最后发现是最后那两个CALL就是我们要的锁定微信CALL。于是乎锁定微信、锁定 锁定 叫着 叫着 ,锁定的英文是Lock,猜测关键CALL是不是附近周围存在在Lock关键字。(8)最后开始写调用实现功能,我们发现锁定微信CALL它竟然是个无参数的CALL ,调用代码如下。C有根据微信日志回溯查的。
练习CALL新感受(原创)
fengfengfengmy的专栏
05-27 3859
经过几天的琢磨,本人对CALL又有了新认识,写出来与新手共享!1、先明白什么是call  (调用)   用于将程序的执行交给其他的代码段,通常是一个子例程,同时保存必要的信息,从而使被调用段执行完毕后返回到调用点继续执行。   描述   将控制权传递给 Sub 过程或 Function 过程。       在OD中一般格式:call 地址A      2、OD汇编中函数或
游戏关键CALL入门
fengfengfengmy的专栏
05-09 1万+
游戏关键CALL入门用OD启动游戏 为了实习死亡回城函数,大家建个小号,先弄死它 我们转回OD 在OD的左下角可以打入命令 bp send 回车 之后立即回到游戏,点游戏里的, 这时OD断在71A2428A > 8BFF MOV EDI,EDI 这是发包函数的入口,属于ws2_32.dll的一个函数 游戏是要和服务器保持连接的。你一打bpsend 就断了那不是断到回城的调用
函数调用分析
qq_61553520的博客
11-20 692
把函数参数压入栈call 函数 下一条指令地址压入堆栈(之后都是被调函数的引起的变化)把原栈帧的栈帧基址(EBP)压入堆栈开辟栈帧开辟局部变量空间保存寄存器给局部变量空间初始化函数有返回值一半保存给eax恢复寄存器平栈 函数局部变量空间恢复栈帧。
条件断点在call中的应用
qq_15054345的博客
06-26 299
以TLBB为例,在2024.6.24附近左右的时间段,游戏窗口切换时就会有两个左右的call,在x64dbg下断点之后切换回游戏窗口,很难分辨出哪个是我们需要的动作引起的call,因此在send函数处下条件断点:$breakpointcounter % 4 == 3。断点启用后,成功到了召唤坐骑的call
X64Dbg使用教程
热门推荐
南宫封清的博客
04-08 4万+
读取内存数据 字节/字/双字/四字/指针(ptr) ReadByte,Byte,byte(addr):从 addr 读取一个字节,并返回该值。 ReadWord,Word,word(addr):从 addr 读取一个字(2字节),并返回该值。 ReadDword,Dword,dword(addr):从 addr 读取双字(4字节),并返回该值。 ReadQword,Qword,qword(add...
游戏内关键Call与调试工具介绍
这类工具能够帮助开发者或逆向工程师到游戏执行中的关键函数调用,也就是所谓的“call”。这些关键的函数调用通常与游戏的逻辑、渲染、音频、网络通信等多个方面相关联。当这些工具指向特定的call时,可以帮助...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值