[讨论]一种更快速的找call方式-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]一种更快速的找call方式

发表于: 2023-8-19 00:49 6420

[讨论]一种更快速的找call方式

qj111111

2023-8-19 00:49

6420

众所周知，CE具备UltiMap功能。但我在使用它寻找游戏call时发现，在大型网络游戏中难以操作。后了解到UltiMap2利用了Intel 7代及以上CPU的指令追踪功能，性能大幅提升，但我尚未进行测试，期待有经验者分享。

关于UltiMap2的CE论坛讨论如下，供参考：
004K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6X3L8%4u0#2L8g2)9J5k6h3y4Z5k6h3q4@1k6h3&6Y4K9h3&6W2i4K6u0W2L8%4u0Y4i4K6u0r3N6X3W2W2N6%4c8G2M7r3W2U0i4K6u0W2M7r3S2H3i4K6y4r3N6q4)9K6c8o6j5I4y4K6R3^5z5q4)9J5y4X3q4E0M7q4)9K6b7Y4y4A6k6q4)9K6c8r3b7@1y4$3u0X3y4o6S2S2x3h3g2X3x3K6S2S2k6o6p5^5y4e0f1&6j5U0u0S2j5e0c8S2x3U0R3K6x3K6u0T1
673K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2U0K9r3g2S2N6r3g2F1k6$3W2F1k6g2)9J5k6h3!0J5k6#2)9J5c8X3k6G2M7Y4g2E0i4K6u0r3N6X3W2W2N6%4c8G2M7r3W2U0i4K6u0W2M7r3S2H3i4K6y4r3N6q4)9K6c8o6j5I4y4e0p5#2y4g2)9J5y4X3q4E0M7q4)9K6b7Y4y4A6k6q4)9K6c8r3x3^5j5K6p5@1z5o6p5H3x3h3u0W2k6h3b7^5z5o6t1#2k6e0x3H3j5$3q4X3k6h3u0U0k6U0f1H3y4K6R3I4
此外，以下技巧也很实用：
d6aK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2U0K9r3g2S2N6r3g2F1k6$3W2F1k6g2)9J5k6h3!0J5k6#2)9J5c8X3k6G2M7Y4g2E0i4K6u0r3N6X3W2W2N6%4c8G2M7r3W2U0i4K6u0W2M7r3S2H3i4K6y4r3N6q4)9K6c8o6j5I4y4o6l9&6y4#2)9J5y4X3q4E0M7q4)9K6b7Y4y4A6k6q4)9K6c8r3y4S2y4K6m8X3y4h3k6V1y4X3q4U0z5e0l9&6k6o6R3@1k6r3p5#2y4X3b7K6x3U0t1@1z5r3q4S2x3U0f1@1

我想分享一个新思路：传统的中断/异常/硬断/软断方法性能开销大，表现不佳。是否考虑换种方法？我们可以在call内部使用inline hook统计call的调用次数，并进一步优化性能：

初始化时扫描所有call，对调用次数超过一定次数的call进行还原hook。通常，我们要找的call调用次数较少。
为了提升性能，可以模仿CE的设计：不使用时关闭计次统计，仅在施放功能前开启，并在施放功能后关闭。然后再进行统计和过滤。

不使用技能时选择不增加调用计次的，再次进行统计和过滤。
总之，类似于CE找数据思路。

这种思路我认为是可以应用于任何程序如（android ios）寻找功能函数的。

大家认为这个思路是否可行，我比较担心思路有方向性错误or实际表现比CE ultiMap2更糟糕.
请大家提供宝贵建议，写好会开源

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！

#调试逆向

收藏・14

免费・0

支持

最新回复 (9)
mudebug 雪币： 9499 活跃值： (6730) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 317 粉丝 48 关注私信	mudebug 2 楼 10年前我记得都有人提供过这种思路了 hook的字节不足，你只能用cc作为断点。不然一个函数就2字节那种你基本gg。再有就是搞了cc就要过crc。完全鸡肋。普通程序还可以，游戏搞了这个玩意可以卡成狗。我自己实现过一个cc的。初始化时必须把已断下来的地址全部过滤掉，不然能让程序卡到吐血或者直接让游戏崩盘然后选择崩溃前的函数地址选择不挂钩。这个操作得搞个3-6次，才能正常断下。面对现在的组件模式编程。其实这个作用不大。特别是在x64下。如果用你的inline hook 要求对函数头部做一个jmp 占用字节太多了。会覆盖到另一个函数。然后GG 2023-8-19 02:25 0
qj111111 雪币： 1557 活跃值： (3927) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 173 粉丝 21 关注私信	qj111111 3 楼 mudebug 10年前我记得都有人提供过这种思路了 hook的字节不足，你只能用cc作为断点。不然一个函数就2字节那种你基本gg。再有就是搞了cc就要过crc。完全鸡肋。普通程序还可以，游戏搞了这个玩意 ... 谢谢解答疑惑 1.hook字节不足的问题，要回答这个问题，首先要回答我们开发这款插件适用范围，x64找游戏call 如果一个功能函数只有2-3条指令，已经可以排除这是个功能函数比如常见的 mov rcx 2023-8-19 06:39 0
qj111111 雪币： 1557 活跃值： (3927) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 173 粉丝 21 关注私信	qj111111 4 楼 mov rax,[rcx+0x100] retn 这种情景显然不是一个功能call，可以直接排除 2.x64 hook字节不足的问题，是否可以特殊处理，在retn处前几个字节hook 检查栈，并且还要考虑寄存器变化情况，经过一系列转换后读取栈的调用者的地址这种hook retn模式只能找到调用者使用call的次数没法知道这个call总共被调用了几次总之各有缺陷，但是我感觉还是可以接受 2023-8-19 06:59 0
qj111111 雪币： 1557 活跃值： (3927) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 173 粉丝 21 关注私信	qj111111 5 楼可以这样，用retn 定位到call的调用者，再读取返回栈的地址，解析返回栈的上一条指令比如call 0x12345678 这个call分多种情况如果是call [rax+8]这种就放弃解析。如果是call 0x12345678可以统计出0x12345678这个函数的调用计次。 2023-8-19 11:24 0
hzqst 雪币： 12862 活跃值： (9282) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 587 关注私信	hzqst 3 6 楼什么年代了还hook IPT了解一下 2023-8-19 11:40 1
qj111111 雪币： 1557 活跃值： (3927) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 173 粉丝 21 关注私信	qj111111 7 楼 hzqst 什么年代了还hook IPT了解一下 intel process trace？我手上没六代以上U 2023-8-19 14:14 0
qj111111 雪币： 1557 活跃值： (3927) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 173 粉丝 21 关注私信	qj111111 8 楼 hzqst 什么年代了还hook IPT了解一下 E3 1270v6+ 华硕E3 pro gaming v5+32G ram已下单 2023-8-19 16:51 0
mb_itubdqgo 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mb_itubdqgo 9 楼做过命令行工具，用的inline hook，主要是用来抓取特定调用频率的call的，也可以获取调用次数。可能有点小鸡肋 2024-6-5 07:48 0
qj111111 雪币： 1557 活跃值： (3927) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 173 粉丝 21 关注私信	qj111111 10 楼 mb_itubdqgo 做过命令行工具，用的inline hook，主要是用来抓取特定调用频率的call的，也可以获取调用次数。可能有点小鸡肋我也做了类似的工具，问题有几个 1.只能做那种inline hook的call， call [rax+8] 这种就无法处理 2.这么多inline hook 反外挂系统的CRC根本无法处理。 3.如果用vt ept处理CRC，性能又无法接受。总之。鸡肋 2024-6-5 14:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

qj111111

发帖

173

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (9)
mudebug 雪币： 9499 活跃值： (6730) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 317 粉丝 48 关注私信	mudebug 2 楼 10年前我记得都有人提供过这种思路了 hook的字节不足，你只能用cc作为断点。不然一个函数就2字节那种你基本gg。再有就是搞了cc就要过crc。完全鸡肋。普通程序还可以，游戏搞了这个玩意可以卡成狗。我自己实现过一个cc的。初始化时必须把已断下来的地址全部过滤掉，不然能让程序卡到吐血或者直接让游戏崩盘然后选择崩溃前的函数地址选择不挂钩。这个操作得搞个3-6次，才能正常断下。面对现在的组件模式编程。其实这个作用不大。特别是在x64下。如果用你的inline hook 要求对函数头部做一个jmp 占用字节太多了。会覆盖到另一个函数。然后GG 2023-8-19 02:25 0
qj111111 雪币： 1557 活跃值： (3927) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 173 粉丝 21 关注私信	qj111111 3 楼 mudebug 10年前我记得都有人提供过这种思路了 hook的字节不足，你只能用cc作为断点。不然一个函数就2字节那种你基本gg。再有就是搞了cc就要过crc。完全鸡肋。普通程序还可以，游戏搞了这个玩意 ... 谢谢解答疑惑 1.hook字节不足的问题，要回答这个问题，首先要回答我们开发这款插件适用范围，x64找游戏call 如果一个功能函数只有2-3条指令，已经可以排除这是个功能函数比如常见的 mov rcx 2023-8-19 06:39 0
qj111111 雪币： 1557 活跃值： (3927) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 173 粉丝 21 关注私信	qj111111 4 楼 mov rax,[rcx+0x100] retn 这种情景显然不是一个功能call，可以直接排除 2.x64 hook字节不足的问题，是否可以特殊处理，在retn处前几个字节hook 检查栈，并且还要考虑寄存器变化情况，经过一系列转换后读取栈的调用者的地址这种hook retn模式只能找到调用者使用call的次数没法知道这个call总共被调用了几次总之各有缺陷，但是我感觉还是可以接受 2023-8-19 06:59 0
qj111111 雪币： 1557 活跃值： (3927) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 173 粉丝 21 关注私信	qj111111 5 楼可以这样，用retn 定位到call的调用者，再读取返回栈的地址，解析返回栈的上一条指令比如call 0x12345678 这个call分多种情况如果是call [rax+8]这种就放弃解析。如果是call 0x12345678可以统计出0x12345678这个函数的调用计次。 2023-8-19 11:24 0
hzqst 雪币： 12862 活跃值： (9282) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 587 关注私信	hzqst 3 6 楼什么年代了还hook IPT了解一下 2023-8-19 11:40 1
qj111111 雪币： 1557 活跃值： (3927) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 173 粉丝 21 关注私信	qj111111 7 楼 hzqst 什么年代了还hook IPT了解一下 intel process trace？我手上没六代以上U 2023-8-19 14:14 0
qj111111 雪币： 1557 活跃值： (3927) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 173 粉丝 21 关注私信	qj111111 8 楼 hzqst 什么年代了还hook IPT了解一下 E3 1270v6+ 华硕E3 pro gaming v5+32G ram已下单 2023-8-19 16:51 0
mb_itubdqgo 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mb_itubdqgo 9 楼做过命令行工具，用的inline hook，主要是用来抓取特定调用频率的call的，也可以获取调用次数。可能有点小鸡肋 2024-6-5 07:48 0
qj111111 雪币： 1557 活跃值： (3927) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 173 粉丝 21 关注私信	qj111111 10 楼 mb_itubdqgo 做过命令行工具，用的inline hook，主要是用来抓取特定调用频率的call的，也可以获取调用次数。可能有点小鸡肋我也做了类似的工具，问题有几个 1.只能做那种inline hook的call， call [rax+8] 这种就无法处理 2.这么多inline hook 反外挂系统的CRC根本无法处理。 3.如果用vt ept处理CRC，性能又无法接受。总之。鸡肋 2024-6-5 14:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复