[讨论]一种更快速的找call方式-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
mudebug 雪币： 8989 活跃值： (6205) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 307 粉丝 39 关注私信	mudebug 2 楼 10年前我记得都有人提供过这种思路了 hook的字节不足，你只能用cc作为断点。不然一个函数就2字节那种你基本gg。再有就是搞了cc就要过crc。完全鸡肋。普通程序还可以，游戏搞了这个玩意可以卡成狗。我自己实现过一个cc的。初始化时必须把已断下来的地址全部过滤掉，不然能让程序卡到吐血或者直接让游戏崩盘然后选择崩溃前的函数地址选择不挂钩。这个操作得搞个3-6次，才能正常断下。面对现在的组件模式编程。其实这个作用不大。特别是在x64下。如果用你的inline hook 要求对函数头部做一个jmp 占用字节太多了。会覆盖到另一个函数。然后GG 2023-8-19 02:25 0
qj111111 雪币： 1558 活跃值： (3432) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 3 楼 mudebug 10年前我记得都有人提供过这种思路了 hook的字节不足，你只能用cc作为断点。不然一个函数就2字节那种你基本gg。再有就是搞了cc就要过crc。完全鸡肋。普通程序还可以，游戏搞了这个玩意 ... 谢谢解答疑惑 1.hook字节不足的问题，要回答这个问题，首先要回答我们开发这款插件适用范围，x64找游戏call 如果一个功能函数只有2-3条指令，已经可以排除这是个功能函数比如常见的 mov rcx 2023-8-19 06:39 0
qj111111 雪币： 1558 活跃值： (3432) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 4 楼 mov rax,[rcx+0x100] retn 这种情景显然不是一个功能call，可以直接排除 2.x64 hook字节不足的问题，是否可以特殊处理，在retn处前几个字节hook 检查栈，并且还要考虑寄存器变化情况，经过一系列转换后读取栈的调用者的地址这种hook retn模式只能找到调用者使用call的次数没法知道这个call总共被调用了几次总之各有缺陷，但是我感觉还是可以接受 2023-8-19 06:59 0
qj111111 雪币： 1558 活跃值： (3432) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 5 楼可以这样，用retn 定位到call的调用者，再读取返回栈的地址，解析返回栈的上一条指令比如call 0x12345678 这个call分多种情况如果是call [rax+8]这种就放弃解析。如果是call 0x12345678可以统计出0x12345678这个函数的调用计次。 2023-8-19 11:24 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 6 楼什么年代了还hook IPT了解一下 2023-8-19 11:40 1
qj111111 雪币： 1558 活跃值： (3432) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 7 楼 hzqst 什么年代了还hook IPT了解一下 intel process trace？我手上没六代以上U 2023-8-19 14:14 0
qj111111 雪币： 1558 活跃值： (3432) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 8 楼 hzqst 什么年代了还hook IPT了解一下 E3 1270v6+ 华硕E3 pro gaming v5+32G ram已下单 2023-8-19 16:51 0
mb_itubdqgo 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mb_itubdqgo 9 楼做过命令行工具，用的inline hook，主要是用来抓取特定调用频率的call的，也可以获取调用次数。可能有点小鸡肋 2024-6-5 07:48 0
qj111111 雪币： 1558 活跃值： (3432) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 10 楼 mb_itubdqgo 做过命令行工具，用的inline hook，主要是用来抓取特定调用频率的call的，也可以获取调用次数。可能有点小鸡肋我也做了类似的工具，问题有几个 1.只能做那种inline hook的call， call [rax+8] 这种就无法处理 2.这么多inline hook 反外挂系统的CRC根本无法处理。 3.如果用vt ept处理CRC，性能又无法接受。总之。鸡肋 2024-6-5 14:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
mudebug 雪币： 8989 活跃值： (6205) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 307 粉丝 39 关注私信	mudebug 2 楼 10年前我记得都有人提供过这种思路了 hook的字节不足，你只能用cc作为断点。不然一个函数就2字节那种你基本gg。再有就是搞了cc就要过crc。完全鸡肋。普通程序还可以，游戏搞了这个玩意可以卡成狗。我自己实现过一个cc的。初始化时必须把已断下来的地址全部过滤掉，不然能让程序卡到吐血或者直接让游戏崩盘然后选择崩溃前的函数地址选择不挂钩。这个操作得搞个3-6次，才能正常断下。面对现在的组件模式编程。其实这个作用不大。特别是在x64下。如果用你的inline hook 要求对函数头部做一个jmp 占用字节太多了。会覆盖到另一个函数。然后GG 2023-8-19 02:25 0
qj111111 雪币： 1558 活跃值： (3432) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 3 楼 mudebug 10年前我记得都有人提供过这种思路了 hook的字节不足，你只能用cc作为断点。不然一个函数就2字节那种你基本gg。再有就是搞了cc就要过crc。完全鸡肋。普通程序还可以，游戏搞了这个玩意 ... 谢谢解答疑惑 1.hook字节不足的问题，要回答这个问题，首先要回答我们开发这款插件适用范围，x64找游戏call 如果一个功能函数只有2-3条指令，已经可以排除这是个功能函数比如常见的 mov rcx 2023-8-19 06:39 0
qj111111 雪币： 1558 活跃值： (3432) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 4 楼 mov rax,[rcx+0x100] retn 这种情景显然不是一个功能call，可以直接排除 2.x64 hook字节不足的问题，是否可以特殊处理，在retn处前几个字节hook 检查栈，并且还要考虑寄存器变化情况，经过一系列转换后读取栈的调用者的地址这种hook retn模式只能找到调用者使用call的次数没法知道这个call总共被调用了几次总之各有缺陷，但是我感觉还是可以接受 2023-8-19 06:59 0
qj111111 雪币： 1558 活跃值： (3432) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 5 楼可以这样，用retn 定位到call的调用者，再读取返回栈的地址，解析返回栈的上一条指令比如call 0x12345678 这个call分多种情况如果是call [rax+8]这种就放弃解析。如果是call 0x12345678可以统计出0x12345678这个函数的调用计次。 2023-8-19 11:24 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 6 楼什么年代了还hook IPT了解一下 2023-8-19 11:40 1
qj111111 雪币： 1558 活跃值： (3432) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 7 楼 hzqst 什么年代了还hook IPT了解一下 intel process trace？我手上没六代以上U 2023-8-19 14:14 0
qj111111 雪币： 1558 活跃值： (3432) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 8 楼 hzqst 什么年代了还hook IPT了解一下 E3 1270v6+ 华硕E3 pro gaming v5+32G ram已下单 2023-8-19 16:51 0
mb_itubdqgo 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mb_itubdqgo 9 楼做过命令行工具，用的inline hook，主要是用来抓取特定调用频率的call的，也可以获取调用次数。可能有点小鸡肋 2024-6-5 07:48 0
qj111111 雪币： 1558 活跃值： (3432) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 10 楼 mb_itubdqgo 做过命令行工具，用的inline hook，主要是用来抓取特定调用频率的call的，也可以获取调用次数。可能有点小鸡肋我也做了类似的工具，问题有几个 1.只能做那种inline hook的call， call [rax+8] 这种就无法处理 2.这么多inline hook 反外挂系统的CRC根本无法处理。 3.如果用vt ept处理CRC，性能又无法接受。总之。鸡肋 2024-6-5 14:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复