- 注册时间
- 2010-8-21
- 最后登录
- 2017-5-27
- 在线时间
- 2 小时
编程入门
- 魔鬼币
- 542
|
其实有办法下断 Ctrl+g 搜 send 往下面找到
71A24C92 FF50 64 call dword ptr [eax+64]
下断 获取 [eax+64] 的内存地址,ctrl+g 到内存地址里下断
其实是WSPSend 函数~~~
WSASend 和send 最后都是执行了WSPSend的
大家可以试试,发包函数找到后,就可以找很多CALL了
内存断点也是找CALL的好办法,但首当其冲应该找到DNF的发包函数
这个方法很多,比如,od加载IE,F9跑起。
然后CTRL+G 跳至send
注意
71A24C69 8B45 10 mov eax, dword ptr [ebp+10]
71A24C6C 53 push ebx
71A24C6D 8D4D FC lea ecx, dword ptr [ebp-4]
71A24C70 51 push ecx
71A24C71 FF75 F8 push dword ptr [ebp-8]
71A24C74 8D4D 08 lea ecx, dword ptr [ebp+8]
71A24C77 57 push edi
71A24C78 57 push edi
71A24C79 FF75 14 push dword ptr [ebp+14]
71A24C7C 8945 F0 mov dword ptr [ebp-10], eax
71A24C7F 8B45 0C mov eax, dword ptr [ebp+C]
71A24C82 51 push ecx
71A24C83 6A 01 push 1
71A24C85 8D4D F0 lea ecx, dword ptr [ebp-10]
71A24C88 51 push ecx
71A24C89 FF75 08 push dword ptr [ebp+8]
71A24C8C 8945 F4 mov dword ptr [ebp-C], eax
71A24C8F 8B46 0C mov eax, dword ptr [esi+C]
71A24C92 FF50 64 call dword ptr [eax+64] ; mswsock.719C5847 //此处下断便可得到。
或者
LoadLibrary mswsock.dll
然后GetProcAddress得到WSPStartup
然后由WSPStartup得到lpproctable指针。
然后指针+0x64处保存
WSPSend地址 `
等等方法
|
|
发表于 2017-5-27 13:34:41