DNF发包函数寻找方法,内存断点也是找CALL的好办法
其实有办法下断 Ctrl+g 搜 send 往下面找到71A24C92 FF50 64 call dword ptr
下断 获取 的内存地址,ctrl+g 到内存地址里下断
其实是WSPSend 函数~~~
WSASend 和send 最后都是执行了WSPSend的
大家可以试试,发包函数找到后,就可以找很多CALL了
内存断点也是找CALL的好办法,但首当其冲应该找到DNF的发包函数
这个方法很多,比如,od加载IE,F9跑起。
然后CTRL+G 跳至send
注意
71A24C69 8B45 10 mov eax, dword ptr
71A24C6C 53 push ebx
71A24C6D 8D4D FC lea ecx, dword ptr
71A24C70 51 push ecx
71A24C71 FF75 F8 push dword ptr
71A24C74 8D4D 08 lea ecx, dword ptr
71A24C77 57 push edi
71A24C78 57 push edi
71A24C79 FF75 14 push dword ptr
71A24C7C 8945 F0 mov dword ptr , eax
71A24C7F 8B45 0C mov eax, dword ptr
71A24C82 51 push ecx
71A24C83 6A 01 push 1
71A24C85 8D4D F0 lea ecx, dword ptr
71A24C88 51 push ecx
71A24C89 FF75 08 push dword ptr
71A24C8C 8945 F4 mov dword ptr , eax
71A24C8F 8B46 0C mov eax, dword ptr
71A24C92 FF50 64 call dword ptr ; mswsock.719C5847//此处下断便可得到。
或者
LoadLibrary mswsock.dll
然后GetProcAddress得到WSPStartup
然后由WSPStartup得到lpproctable指针。
然后指针+0x64处保存
WSPSend地址 `
等等方法
页:
[1]