本文为看雪论坛优秀文章

看雪论坛作者ID：千音丶

一、自动喊话

想实现自动喊话怎么办？可以通过键鼠模拟，也可以找到喊话call，或者也可以找到控件输入call，在调用发送喊话的call，我们这里要找的是控件输入call。

>>>>

控件输入call

我们输入字符的时候肯定是要访问当前控件对象的，那么我可以从这个编辑框内容的长度来当做一个突破口， 当前有多少字符长读，我们就搜多少。最终有7个结果：我们可以移动编辑里的光标，发现有个地址的内容变了，很显然这个地址是存放是光标的位置。剩下的3个都是存储字符串长度的，我们随便找个然后下内存写入断点。输入字符被断下：然后我们Ctrl+F9不断的返回，沿途记录call：那么先从第一个call 分析：分析第一个参数，发现很像是一个结构体：具体分析如下：在来看看ecx是什么。从这些名字不难看出来应该是控件相关的。并且在+11c的位置可以到是当前编辑框里的内容，那么这个应该就是控件对象了。

>>>>

测试输入call

先构造这么一个结构体：调用一下，发现可以成功输入：

>>>>

发送call

他要发送内容，肯定是要发包的，我们可以在Send函数上下个断点。喊话之后被断下：Ctrl+F9返回，沿途记录call：直接从后面的call开始测试，这里有个简易的方法就是把call Nop掉，然后看看效果还在不在，但是Nop的时候注意堆栈平衡。然后把这个call Nop掉之后发现不会喊话了。那么我们直接调用这个call做个测试，发现可以调用成功。二、控件遍历

>>>>

追踪来源

来到刚才的控件输入call，我们追ecx的来源：eax：eax又是这个call的返回值：然后重点来分析一下这个call。

>>>>

链表套数组结构

这是一个链表套数组的结构：1、一开始会有一个根节点，记做Root2、有两个循环，一个大循环，一个小循环3、大循环我们可以看做是一个大控件，小循环是大控件里的那些小控件4、大循环的终止条件是：[控件对象+0x79]==0小循环的终止条件是：[控件对象+0x79]!=05、在开始遍历小循环开始，会先计算出当前这个大控件里有多少小控件，怎么计算呢？小控件数量=([对象+0x80]-[对象+0x7C])/46、然后小循环开始遍历，用这个数量当做下标i来遍历，但是这并不是终止条件，循环完一次下标-17、小循环结束之后，下一个大控件也是用这个下标继续遍历，然后又取出数量8、遍历方式大循环和小循环都一样，下一个控件对象=[[当前对象+0x8C]+i*4]以上的这种遍历方式是按照这个call的遍历方式来写的，，但是现在可以推测出这个call应该是游戏用来寻找编辑框对象的，所以会有一些多余的条件，但是我们的目的是要把所有的控件全部遍历出来。那么正确的流程应该是这样：从根节点开始遍历，判断一下这个节点是否存在小控件，如果有小控件的话就继续进去，然后继续判断是否有小控件这种，直到全部结束，那么最好的解决办法就是递归。

>>>>

寻找根节点的来源

现在我们知道是怎么遍历的了，就去找根节点的来源即可。来源于ecx：edi：[eax+0x2C]：[esi+0x2c]：[ecx+0x2c]：根节点：[[0x29D40AC]+0x2c]三、递归实现控件遍历遍历也花了一点时间，将近6万多个控件，把游戏中的所有控件遍历出来了。- End -

看雪ID：千音丶

https://bbs.pediy.com/user-840606.htm 

*本文由看雪论坛  千音丶  原创，转载请注明来自看雪社区

推荐文章++++

* GandCrab v5.2 分析

* 恶意代码分析中一些常见的非PE样本分析

* 定制Xposed框架

* 通过一道pwn题详细分析retdlresolve技术

* 打造属于自己的渗透神器——WiFi-ducky

进阶安全圈，不得不读的一本书﹀﹀﹀公众号ID：ikanxue官方微博：看雪安全商务合作：wsc@kanxue.com戳