【转】超详细找call写call教程

神话

神话：本人菜鸟，看了这篇文章+自己的摸索，感觉受益不少。希望这篇文章对某些人有帮助

首先我们要知道一点，为什么要找CALL。CALL是什么？大家知道易里的子程序吧如何调用子程序的？这里的CALL就是调用子程序的意思，那问了为什么要找他的，答案是：当你些个游戏的智辅用模拟键盘操作的时候，被操作的永远是当前窗口，当窗口切换的时候，你的智辅就不起作用了，calL可以解决这点 还有一个是什么暂时我没兴趣不去研究它现在只研究CALL（萝卜加上）
首先说明，这个教程以一个找CALL的练习程序为例子。之所以不拿游戏，因为游戏找CALL时间长了，不适合做教程，而且本练习涵盖参数。我将说明为什么这么调用，为什么这么写！
好的。偶们好的，偶们这节课需要用到的程序为【wygailf】制作的一个找CALL测试程序。首先感谢他！
[图]
这个就是我们用到的程序，OK，打开他并且用OD附加进程！
[图]
并使其进入“运行”状态
好的，下面我没开始找CALL，首先说明一下，CTRL+F9这个是“运行到返回”。为什么要按这个按钮？----就我的理解，假设把程序比做很多层的一个盒子，而CALL就是我们要从盒子里拿出来的东西。
那么，如果我们想拿出来CALL，怎么办？当然是打开盒子，取出盒子，再打开盒子，取出盒子.....而这个CTRL+F9就是这个打开盒子到取出盒子的过程。运行到返回，顾名思义，就是运行到RET（返回）截止。
而这个RET也正是跳出本层的一个关键点。每一个RET都有可能是一层。所以这样也就解释了为什么有的时候按三下CTRL+F9和四下CTRL+F9的原因了。
好，说的就这些。下面LET'S GO！
我们首先下断点bp send。
[图]
然后回车。如果不确定自己是否成功的下了断点。可以在OD中按ALT+B来查看
[图]
好的，这个就是我们下的断点了。始终就是断点有效，也可以暂停断点。选择一个断点，敲空格。这个断点就变成了“禁用”。这样就算暂停了断点。OK这里不再赘述，我们开始。
==============================================================================================================
首先，我们来个HP药水试试！
[图]
在这里选择吃药。然后OD会断下！
[图]
这里是程序断下的地方，我们可以看到下方有如下注释：
[图]
SEND来自.....说明这里是send函数被断开的地方。
继续，CTRL+F9我每一步都会记录下来，一点一点给新手解释为什么！
[图]
上图是我按下第一次CTRL+F9之后转到的RET。这里再顺便说一句。看到这里的RET 10了没有。这里是RET 10就是有4个参数的RET,一个参数占4个字节。那么按照这么说来应该是 RET 16才对啊。其实
这里的10是16进制的10，那么16=10（16进制）=4x4所以这里是RET 10。好，下面说正题：看到上面的CALL了没有。CALL WS2_32....当你看到这个的时候，你就可以毫不犹豫的再次按下CTRL+F9了，说明你现在还在系统的范围内。还没有进入到程序。为什么系统跟程序不一样？因为程序是依托在WINDOWS平台运行的。那么如果程序要干什么事情，就要跟WINDOWS打声招呼。也就是SEND函数！程序跟系统说，我要做动作了，系统说批准，程序说我要喝药，系统说批准，程序说我去哪里喝药，系统说CALL！好的，这里的CALL就是我们需要的CALL了。:-)
[图]
第二次CTRL+F9，这里的CALL还是差不多，还在系统层内。我们继续！
[图]
OK，以上是第三次按CTRL+F9所看到的信息。
看到这里了吗，已经是程序层了。也就说这里很有可能就是我们需要的CALL了。OK。我们来测试一下
好的，我们来看这一段
[图]
lewei2000提醒:以下几点解释有误,初学者略过,楼主还需深化汇编知识
看第一行：mov dword ptr fs:[eax],edx -------这里的意思是：将指针赋值到dword，后面有FS就是注释[eax],edx其实就是将edx中的值复制到eax中，使eax和edx相等（由于版主的指正，这里要声明，此处的理解为自己的理解。并不是正规的解释方法，仅供参考而已）。
看第二行：push 入栈,入栈就是把一个数值放到寄存器中，其实跟mov是一样的，那么这里push到哪里了呢？因为第一行eax已经被占用，那么这里就应该是ebx。也就说这里是赋值EBX。
看第三行：lea eax,pword ptr ss:[edp-4]。这里LEA指令指将操作结果保存到eax，好既然是eax我们就不管他了。至于是什么结果，我们一会看。
看第四行：CALL不解释。就是我们需要的东西。（但其实不是）
看第五行：ret 返回的意思。
好的，假设这段代码是我们需要的代码，那我们该怎么去表达它，在程序中如何去写？
这里留个悬念，因为我事先测试过，这里不是我们需要的CALL，我就不说了。等找到正确CALL的时候我再讲解如何去写CALL。
好继续CTRL+F9下图
[图]
看这里，跟上面一样，这个返回没用，我们继续CTRL+F9。
[图]
好，这里又出现了一个CALL，那我们想想是不是这个呢？如何去调用这个CALL？
首先，我们要测试一下它是不是一个带参数的CALL，至于怎么测试呢？---靠，那就用程序CALL一下呗！但这里的CALL是个有参数的CALL。我们继续。
我们如何知道这个CALL调用了什么参数？试想一下，CALL调用参数，要在哪里看？当然是在CALL中看了，如何看？那就让我们去CALL那里了，如何去？--断点~！（周杰伦唱的）
好，在上面CALL那里下断点~选择CALL，按F2
[图]
这里前面的地址变成了红色的。这样就算断点成功了，这里断了前面就不用断了，我们在ALT+B中删除以前的SEND断点。（Delete键删除）
OK，我们让程序恢复到运行状态！
[图]
好，我们看到，测试程序中显示，使用了一个补血药品。OK，我们继续按“吃血”！
[图]
好的，看到断点了没有，正好断在我们刚才下断点的地方。说明不管这个CALL正确与否，我们吃血的过程都要调用这个CALL，这样就离正确很接近了。
我们刚才说看CALL的参数，CALL的参数其实就是在调用CALL的时候所需要的运行环境，在什么条件下，CALL执行之后是吃血，什么情况下是吃蓝。
好的。我们现在利用到了寄存器。看寄存器中的提示，有两个红色，说明当我们调用CALL的时候，它使用了寄存器中的两个地址。那么这个就是CALL的
运行环境了，也就是说，只要在我们调用这个CALL的时候，寄存器EAX中有值00D51FE4和寄存器ECX中有值0042ABE4就可以运行。这里还有一个特殊
情况，这里我先卖个关子。
这里也解释了上面的那个不是我们用到的那个CALL如何看参数！
好，这里我们写一个小程序来调用CALL。
===========================================================================================
好，不管是不是这个CALL，我们先来测试一下
我是用delphi的，所以这里讲解delphi-----这里我还要多一嘴，其实语言只是工具，只要学会了道理，就不在乎语言的问题了，其实在我们这个阶段，语言的区分仅仅是命令不同而已
我会把如何写的理论告诉给大家。让大家知道------花儿为什么这样红！o(∩_∩)o...哈哈
首先，我们要调用一个程序的CALL，需要干什么。当然是指定这个程序啦！如何指定？如果这里您不知道，建议您去句柄那里好好修炼一下。
Hwnd:=FindWindow('1','2')======这里的Hwnd是个变量，为窗口句柄。FindWindow是一个找窗口句柄的命令，这里有两个参数，我用1和2代替。其中1在命令中应该是窗口类名。
2在这里应该是窗口标题。
GetWindowThreadProcessID(1,2)=这里的GetWindowThreadProcessID()也是个命令，是找窗口线程ID的一个命令，有两个参数。1代表窗口句柄，2代表赋值变量，这个变量就是我们
要把线程ID赋值给什么变量，可以这么写GetWindowThreadProcessID(Hwnd,@ThreadID);
OpenProcess(1,2,3)===========这个命令是打开进程并返回进程ID，有三个参数，分别为参数类型，句柄继承符，和线程ID.可以写为Pid:=OpenProcess(Process_all_access,false,ThreadID)
Process_all_access就是打开进程的格式，我们这里使用全部格式就可以了。无需理解，这么写就好。
这里写好了，我们可以检测一下是否成功。
[图]
[图]
这里就是找线程ID了！下面写注入
过程注入函数
function TForm1.InsterGameFun(Hid:cardinal;FunName:pointer):cardinal;
var
{要注入线程的窗口句柄和临时存放的句柄}
TmpHandle: THandle;
ThreadID: Thandle;
ThreadAdd:pointer;
WriteCount: DWORD;
begin
ThreadAdd := VirtualAllocEx(Hid, nil, 128, MEM_COMMIT, PAGE_EXECUTE_READWRITE);//在目标进程建立内存空间
WriteProcessMemory(Hid, ThreadAdd,FunName, 128, WriteCount);//将要注入的过程写到上面建立的内存空间中
TmpHandle := CreateRemoteThread(Hid, nil, 0, ThreadAdd, nil, CREATE_SUSPENDED, ThreadID);//获得注入后过程的句柄ID
result:=TmpHandle;//返回句柄ID
end;
这里照抄也可以，反正就是这么写的，每步怎么个意思我也标示了。
注入也写了，窗口也获取了，剩下的就是写CALL了。
好的！我们看这个图片
记得我刚才说的EAX(00D51FE4)和ECX(0042ABE4)了吗？
按照这里来说。只要我们写命令
pushed
asm
mov eax,$005D1FE4
mov ecx,$0042ABE4
call $00452E98
popad
一般这样的命令就可以了。
但是我们这么写的时候却没有生效。那么一定是哪里出错了。我们对比两个图
我们对比两个图的寄存器中的值。
我们发现EDX中，值在返回之后度没有变化。也就是说这里EDX也有可能是环境因素之一。而ECX前后却有变化，那ECX是不是环境呢？
我们做如下测试。
procedure HP; //吃红
var
Address:pointer;
begin
Address:=pointer($00452e98);
asm
pushad
mov eax,$00D51FE4
mov ecx,$0042ABE4
mov edx,$00453028
call Address
popad
end;
end;
我们这么写，测试一下，成功！那么去掉ECX呢？也成功！
这里就是EDX和EAX是真正的参数了。
========================================================================
好的，我这已经讲解的超级详细了，如果还有人不明白，那我真吐血了！
以此类推就可以写出蓝，回城的CALL，呵呵，如果写不出来。那你看来还要重新看这篇文章。
我们这里有没有交流群，我QQ:543820650，可以拉我进去吗

liuyh7788

好文章很详细；学习中。。。谢谢楼主！！！