首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 经典问答
    3. 发新帖
某游戏发包函数不能断下
2016-10-8 16:39 4861

某游戏发包函数不能断下

一直是新手 活跃值
2016-10-8 16:39
4861
win7 64的系统
bp send
bp sendto
bp WSASend
bp ws2_32.send    (心跳)
bp ws2_32.sendto
bp ws2_32.WSASend
都没法断, 有其他函数吗

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
点赞0
打赏
分享
最新回复 (8)
sealmoon
雪    币: 23
活跃值: (1261)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
sealmoon 2016-10-8 16:45
2
0
在 NtDeviceIoControlFile     100%能断下    判断下IoControlCode 是AFD_SEND 就行
一直是新手
雪    币: 75
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
一直是新手 2016-10-8 16:48
3
0
只是过了这游戏的驱动, 我在OD下断的, 没办法吗, 只能去驱动那边弄吗
sealmoon
雪    币: 23
活跃值: (1261)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
sealmoon 2016-10-8 16:54
4
0
不用在驱动里的, 在R3层也有
sealmoon
雪    币: 23
活跃值: (1261)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
sealmoon 2016-10-8 17:07
5
0
http://blog.csdn.net/lziog/article/details/6530501

可以参考这篇的,虽然是在驱动层,不过在R3也是一样的原理

在R3的API具体地址就是  GetProcAddress(GetModuleHanlde("ntdll.dll"),"ZwDeviceIoControlFile")
一直是新手
雪    币: 75
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
一直是新手 2016-10-8 17:19
6
0
我先研究下吧, 看MSDN说第一个是模块句柄, 第二个是函数名, 但是给出的返回值怎么判断
AFD_SEND, 不用定义AFD_SEND吗, 还是直接if (返回值==AFD_SEND)??不过最主要的还是要得到发包函数的地址啊, 这样才能返回继续下一步啊....
roothxl
雪    币: 76
活跃值: (28)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
roothxl 2016-10-8 17:21
7
0
还有的,就是游戏自定义的发包函数,你可以从底层的发包函数上面下断返回试试
紫夜星纱
雪    币: 248
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
紫夜星纱 2016-10-8 17:35
8
0
你都会过驱动了,还不会这个。。。。
一直是新手
雪    币: 75
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
一直是新手 2016-10-8 17:39
9
0
驱动没学多久, 64位的也好过, 看了很多资料才过的, 晚点花点时间研究下了,个人更喜欢能R3就R3
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回