[原创]Call调用回溯跟踪工具-资源下载-看雪-安全社区|安全招聘|kanxue.com

[原创]Call调用回溯跟踪工具

2014-9-2 23:44 27421

[原创]Call调用回溯跟踪工具

raincrack

2014-9-2 23:44

27421

通过设置目标窗体进程中的函数地址进行监视！可以回溯追踪出进程调用流程！

比如设置监视游戏窗口进程的 send函数可回溯追出明文CALL

成品.zip 解压密码:pediy.com

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

捕获.PNG （26.35kb，108次下载）
成品.zip （805.71kb，1524次下载）

收藏・64

点赞・1

打赏

最新回复 (61) 1 2 3 ▶
晓月残星雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 60 粉丝 0 关注私信	晓月残星 2014-9-2 23:51 2 楼 0 做个记号
appview 雪币： 378 活跃值： (2802) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 192 粉丝 1 关注私信	appview 2014-9-2 23:52 3 楼 0 看起来很牛逼，刘明
bxc 雪币： 7074 活跃值： (3463) 能力值： ( LV12，RANK：340 ) 在线值：发帖 243 回帖 1312 粉丝 23 关注私信	bxc 6 2014-9-2 23:55 4 楼 0 能开源就好了，不开源意义不大
grusirna 雪币： 85 活跃值： (51) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 168 粉丝 2 关注私信	grusirna 1 2014-9-3 02:28 5 楼 0 mark,能解决掉crc效验的话意义就比较大了
无边雪币： 9479 活跃值： (757) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 605 粉丝 2 关注私信	无边 2014-9-3 03:52 6 楼 0 这个跟CRC有毛关系，就是堆栈跟踪
heihu 雪币： 1136 活跃值： (673) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 187 粉丝 0 关注私信	heihu 2014-9-3 05:43 7 楼 0 mark,可能用的到
zhenwo 雪币： 1537 活跃值： (2847) 能力值： ( LV11，RANK：180 ) 在线值：发帖 30 回帖 236 粉丝 20 关注私信	zhenwo 1 2014-9-3 08:31 8 楼 0 好东西收藏玩玩啦
木瓜枫叶雪币： 459 活跃值： (334) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 526 粉丝 5 关注私信	木瓜枫叶 2 2014-9-3 08:35 9 楼 0 同意，希望开源
lynnux 雪币： 3178 活跃值： (1471) 能力值： ( LV6，RANK：93 ) 在线值：发帖 23 回帖 383 粉丝 14 关注私信	lynnux 2014-9-3 08:51 10 楼 0 开源又没啥好处，没必要开源。我也开了几个论坛也不给精，以后要是有东西我也不开源，不过现在也没什么激情搞东西了。自己加把劲多更新下就可以了。
王旭峰雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 51 粉丝 0 关注私信	王旭峰 2014-9-3 09:11 11 楼 0 基于ebp 堆栈框架的吗?
white、、雪币： 60 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 394 粉丝 0 关注私信	white、、 2014-9-3 09:13 12 楼 0 工具很不错，赶脚很NB。
YwdxY 雪币： 347 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 0 关注私信	YwdxY 2014-9-3 09:34 13 楼 0 试下看看感谢分享
raincrack 雪币： 26 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 1 关注私信	raincrack 2014-9-3 09:40 14 楼 0 不是基于EBP
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 338 粉丝 5 关注私信	linziqingl 4 2014-9-3 10:11 15 楼 0 如果不是基于ebp来实现call堆叠分析，那除了用内存反汇编分析还有什么办法可以实现？请楼主大牛受我于渔吧？
bxc 雪币： 7074 活跃值： (3463) 能力值： ( LV12，RANK：340 ) 在线值：发帖 243 回帖 1312 粉丝 23 关注私信	bxc 6 2014-9-3 10:21 16 楼 0 你开源如果是为了精华的话，那你就搞错开源的意义了。。
gegon 雪币： 375 活跃值： (171) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 212 粉丝 0 关注私信	gegon 2014-9-3 11:14 17 楼 0 我有点疑惑，od本身不就是可以调用回溯吗，这个工具比od的话有什么优点呢？
sinkay 雪币： 6520 活跃值： (3042) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 2 关注私信	sinkay 2014-9-3 11:19 18 楼 0 必须大力支持一下
raincrack 雪币： 26 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 1 关注私信	raincrack 2014-9-3 11:44 19 楼 0 OD默认是基于EBP的回溯，其次需要附加调试等这个快捷简单有效并且可以长时间采集！
Grbet 雪币： 562 活跃值： (372) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 1 关注私信	Grbet 2014-9-3 11:47 20 楼 0 居然可以不基于EBP回溯能简单讲讲思路么
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 398 粉丝 2 关注私信	人在塔在 2014-9-3 13:22 21 楼 0 mark一下下黑i黑
lynnux 雪币： 3178 活跃值： (1471) 能力值： ( LV6，RANK：93 ) 在线值：发帖 23 回帖 383 粉丝 14 关注私信	lynnux 2014-9-3 13:31 22 楼 0 当然开源对各个人来说，“意义”是不一样的。就代码而言，对大部分看客来说，如果对他的研究有价值，那把不得你开源了，对其它暂时用不上的人来说则是无所谓，但对作者来说，代码是他花了时间花了精力来写的，一般来说是不会开源的，既然他在论坛发了出来，那么是多少有些“企图”的，当然我们很欣赏那些不求回报的，不过能顺便得个精华不是更好？当然，我自己的代码写得确实有些搓，评不上精华，不过我却有种付出没有回报的感觉，可怜的屌丝心态啊~~ 鉴于此，以后有空再写写小工具的时候我基本上不会再考虑公开代码（就不玷污“开源”这个词）了。
bxc 雪币： 7074 活跃值： (3463) 能力值： ( LV12，RANK：340 ) 在线值：发帖 243 回帖 1312 粉丝 23 关注私信	bxc 6 2014-9-3 13:58 23 楼 0 我觉得开源意义在于共享、交流。但我也不排斥闭源软件。如果能做到像MS那样，闭源就闭源了。不然的话，一些小工具还不如开源了。
szbigcat 雪币： 259 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 69 粉丝 0 关注私信	szbigcat 2014-9-4 23:17 24 楼 0 之前想自己做一个来着，类似linux的ptrace的工具没法监听非窗口？
地狱怪客雪币： 339 活跃值： (133) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1142 粉丝 8 关注私信	地狱怪客 2 2014-9-4 23:22 25 楼 0 源码呢。。。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

raincrack

发帖

回帖

RANK

关注

私信

他的文章

[求助]为什么有些WDM驱动安装后无卸载或禁用选项

[讨论]关于搜索kbdclass的回调模拟的一点疑问？

[讨论]XP 32位是如何处理SAFESEH的呢？

[讨论]求教Ring3层 ZwMapViewOfSection 用法

[求助]内存加载DLL 无法接管异常需要注意什么呢？

关于我们

联系我们

企业服务

看雪公众号

最新回复 (61) 1 2 3 ▶
晓月残星雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 60 粉丝 0 关注私信	晓月残星 2014-9-2 23:51 2 楼 0 做个记号
appview 雪币： 378 活跃值： (2802) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 192 粉丝 1 关注私信	appview 2014-9-2 23:52 3 楼 0 看起来很牛逼，刘明
bxc 雪币： 7074 活跃值： (3463) 能力值： ( LV12，RANK：340 ) 在线值：发帖 243 回帖 1312 粉丝 23 关注私信	bxc 6 2014-9-2 23:55 4 楼 0 能开源就好了，不开源意义不大
grusirna 雪币： 85 活跃值： (51) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 168 粉丝 2 关注私信	grusirna 1 2014-9-3 02:28 5 楼 0 mark,能解决掉crc效验的话意义就比较大了
无边雪币： 9479 活跃值： (757) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 605 粉丝 2 关注私信	无边 2014-9-3 03:52 6 楼 0 这个跟CRC有毛关系，就是堆栈跟踪
heihu 雪币： 1136 活跃值： (673) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 187 粉丝 0 关注私信	heihu 2014-9-3 05:43 7 楼 0 mark,可能用的到
zhenwo 雪币： 1537 活跃值： (2847) 能力值： ( LV11，RANK：180 ) 在线值：发帖 30 回帖 236 粉丝 20 关注私信	zhenwo 1 2014-9-3 08:31 8 楼 0 好东西收藏玩玩啦
木瓜枫叶雪币： 459 活跃值： (334) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 526 粉丝 5 关注私信	木瓜枫叶 2 2014-9-3 08:35 9 楼 0 同意，希望开源
lynnux 雪币： 3178 活跃值： (1471) 能力值： ( LV6，RANK：93 ) 在线值：发帖 23 回帖 383 粉丝 14 关注私信	lynnux 2014-9-3 08:51 10 楼 0 开源又没啥好处，没必要开源。我也开了几个论坛也不给精，以后要是有东西我也不开源，不过现在也没什么激情搞东西了。自己加把劲多更新下就可以了。
王旭峰雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 51 粉丝 0 关注私信	王旭峰 2014-9-3 09:11 11 楼 0 基于ebp 堆栈框架的吗?
white、、雪币： 60 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 394 粉丝 0 关注私信	white、、 2014-9-3 09:13 12 楼 0 工具很不错，赶脚很NB。
YwdxY 雪币： 347 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 0 关注私信	YwdxY 2014-9-3 09:34 13 楼 0 试下看看感谢分享
raincrack 雪币： 26 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 1 关注私信	raincrack 2014-9-3 09:40 14 楼 0 不是基于EBP
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 338 粉丝 5 关注私信	linziqingl 4 2014-9-3 10:11 15 楼 0 如果不是基于ebp来实现call堆叠分析，那除了用内存反汇编分析还有什么办法可以实现？请楼主大牛受我于渔吧？
bxc 雪币： 7074 活跃值： (3463) 能力值： ( LV12，RANK：340 ) 在线值：发帖 243 回帖 1312 粉丝 23 关注私信	bxc 6 2014-9-3 10:21 16 楼 0 你开源如果是为了精华的话，那你就搞错开源的意义了。。
gegon 雪币： 375 活跃值： (171) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 212 粉丝 0 关注私信	gegon 2014-9-3 11:14 17 楼 0 我有点疑惑，od本身不就是可以调用回溯吗，这个工具比od的话有什么优点呢？
sinkay 雪币： 6520 活跃值： (3042) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 2 关注私信	sinkay 2014-9-3 11:19 18 楼 0 必须大力支持一下
raincrack 雪币： 26 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 1 关注私信	raincrack 2014-9-3 11:44 19 楼 0 OD默认是基于EBP的回溯，其次需要附加调试等这个快捷简单有效并且可以长时间采集！
Grbet 雪币： 562 活跃值： (372) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 1 关注私信	Grbet 2014-9-3 11:47 20 楼 0 居然可以不基于EBP回溯能简单讲讲思路么
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 398 粉丝 2 关注私信	人在塔在 2014-9-3 13:22 21 楼 0 mark一下下黑i黑
lynnux 雪币： 3178 活跃值： (1471) 能力值： ( LV6，RANK：93 ) 在线值：发帖 23 回帖 383 粉丝 14 关注私信	lynnux 2014-9-3 13:31 22 楼 0 当然开源对各个人来说，“意义”是不一样的。就代码而言，对大部分看客来说，如果对他的研究有价值，那把不得你开源了，对其它暂时用不上的人来说则是无所谓，但对作者来说，代码是他花了时间花了精力来写的，一般来说是不会开源的，既然他在论坛发了出来，那么是多少有些“企图”的，当然我们很欣赏那些不求回报的，不过能顺便得个精华不是更好？当然，我自己的代码写得确实有些搓，评不上精华，不过我却有种付出没有回报的感觉，可怜的屌丝心态啊~~ 鉴于此，以后有空再写写小工具的时候我基本上不会再考虑公开代码（就不玷污“开源”这个词）了。
bxc 雪币： 7074 活跃值： (3463) 能力值： ( LV12，RANK：340 ) 在线值：发帖 243 回帖 1312 粉丝 23 关注私信	bxc 6 2014-9-3 13:58 23 楼 0 我觉得开源意义在于共享、交流。但我也不排斥闭源软件。如果能做到像MS那样，闭源就闭源了。不然的话，一些小工具还不如开源了。
szbigcat 雪币： 259 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 69 粉丝 0 关注私信	szbigcat 2014-9-4 23:17 24 楼 0 之前想自己做一个来着，类似linux的ptrace的工具没法监听非窗口？
地狱怪客雪币： 339 活跃值： (133) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1142 粉丝 8 关注私信	地狱怪客 2 2014-9-4 23:22 25 楼 0 源码呢。。。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复