[求助]请教个简单找call的问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
losegames 雪币： 32 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 1 关注私信	losegames 2 楼 hr "heatbeat" (address) 2018-2-26 08:58 0
wx_一潭雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_一潭 3 楼一看楼上就是高手 2018-2-26 09:00 0
vcvip 雪币： 194 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	vcvip 4 楼 losegames hr "heatbeat" (address) 谢谢指点，这样定位不到啊。我说的用ce能搜索到地址是指在发包过后的内存中找到的（发送线程中），和我用bp send的效果是一样的，没跳出发包线程就找不到组包的地方，组包的过程中出现的heartbeat可能是一闪而过所以没有搜索到，或者说有没有什么断点能做到只要内存中出现过“heartbeat”就断下来，因为组包的时候肯定会要用类似memcpy(msgType,"heartbeat")这种操作，想过断memcpy ，好像又不能带条件...求指点 2018-2-26 09:39 0
myangel 雪币： 1795 活跃值： (63) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 334 粉丝 1 关注私信	myangel 5 楼本人菜鸟，下面是本人的一些疑惑和愚见。如有说错，请见谅。 1.心跳包的发送，采用的协议确定是tcp?有没可能是udp? 2.看你的描述像是tcp，只断过send，有没有看过微软的WSASend之类的函数？ 3.系统工具应该能看到客户端网络通信的部分线程，能否从这块入手？ 4.这种发送报文的内容hearbeat是固定的，所以可能不存在你所说memcpy操作这种心跳包一般是另外单开线程，你可能在调试过程中，运行其中一个线程，禁用其他线程，然后监控数据包是否产生。。 2018-2-26 10:34 0
wx_一潭雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_一潭 6 楼只是找Call应该和协议无关吧 2018-2-26 12:17 0
小剑雪币： 110 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 375 粉丝 1 关注私信	小剑 7 楼现在内存窗口多下几个断点，运行，找出解码字符串位置（这过程有点烦），然后在 hr address , 小白解答小白 2018-2-26 14:42 0
vcvip 雪币： 194 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	vcvip 8 楼小剑现在内存窗口多下几个断点，运行，找出解码字符串位置（这过程有点烦），然后在 hr address , 小白解答小白解码也是在发送线程里的事了，那里不是组包的call使用的位置，组包的call把packet放入队列，等发送线程取走发送，所以ce里搜索到的字符串也是发送线程里的，不知道有没有可以监视内存里读取或者写入一个字符串的方法？如果有那就能轻松找到组包call的位置了。 2018-2-26 22:09 0
vcvip 雪币： 194 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	vcvip 9 楼 myangel 本人菜鸟，下面是本人的一些疑惑和愚见。如有说错，请见谅。 1.心跳包的发送，采用的协议确定是tcp?有没可能是udp? 2.看你的描述像是tcp，只断过send，有没有看过微软的WSASend之类 ... 谢谢热心回复，可能我说的和你说的1、2、3点没有太多联系，我只是找call与协议没什么关系，而且bp send可以断下并找到发送的内容。至于第4点，内容固定也会有组包（组织发送内容的过程）吧，因为这个包里还有其它信息。 2018-2-26 22:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
losegames 雪币： 32 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 1 关注私信	losegames 2 楼 hr "heatbeat" (address) 2018-2-26 08:58 0
wx_一潭雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_一潭 3 楼一看楼上就是高手 2018-2-26 09:00 0
vcvip 雪币： 194 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	vcvip 4 楼 losegames hr "heatbeat" (address) 谢谢指点，这样定位不到啊。我说的用ce能搜索到地址是指在发包过后的内存中找到的（发送线程中），和我用bp send的效果是一样的，没跳出发包线程就找不到组包的地方，组包的过程中出现的heartbeat可能是一闪而过所以没有搜索到，或者说有没有什么断点能做到只要内存中出现过“heartbeat”就断下来，因为组包的时候肯定会要用类似memcpy(msgType,"heartbeat")这种操作，想过断memcpy ，好像又不能带条件...求指点 2018-2-26 09:39 0
myangel 雪币： 1795 活跃值： (63) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 334 粉丝 1 关注私信	myangel 5 楼本人菜鸟，下面是本人的一些疑惑和愚见。如有说错，请见谅。 1.心跳包的发送，采用的协议确定是tcp?有没可能是udp? 2.看你的描述像是tcp，只断过send，有没有看过微软的WSASend之类的函数？ 3.系统工具应该能看到客户端网络通信的部分线程，能否从这块入手？ 4.这种发送报文的内容hearbeat是固定的，所以可能不存在你所说memcpy操作这种心跳包一般是另外单开线程，你可能在调试过程中，运行其中一个线程，禁用其他线程，然后监控数据包是否产生。。 2018-2-26 10:34 0
wx_一潭雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_一潭 6 楼只是找Call应该和协议无关吧 2018-2-26 12:17 0
小剑雪币： 110 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 375 粉丝 1 关注私信	小剑 7 楼现在内存窗口多下几个断点，运行，找出解码字符串位置（这过程有点烦），然后在 hr address , 小白解答小白 2018-2-26 14:42 0
vcvip 雪币： 194 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	vcvip 8 楼小剑现在内存窗口多下几个断点，运行，找出解码字符串位置（这过程有点烦），然后在 hr address , 小白解答小白解码也是在发送线程里的事了，那里不是组包的call使用的位置，组包的call把packet放入队列，等发送线程取走发送，所以ce里搜索到的字符串也是发送线程里的，不知道有没有可以监视内存里读取或者写入一个字符串的方法？如果有那就能轻松找到组包call的位置了。 2018-2-26 22:09 0
vcvip 雪币： 194 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	vcvip 9 楼 myangel 本人菜鸟，下面是本人的一些疑惑和愚见。如有说错，请见谅。 1.心跳包的发送，采用的协议确定是tcp?有没可能是udp? 2.看你的描述像是tcp，只断过send，有没有看过微软的WSASend之类 ... 谢谢热心回复，可能我说的和你说的1、2、3点没有太多联系，我只是找call与协议没什么关系，而且bp send可以断下并找到发送的内容。至于第4点，内容固定也会有组包（组织发送内容的过程）吧，因为这个包里还有其它信息。 2018-2-26 22:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复