逆向(二)：CALL的实战构建与线程注入-平芜编程栈

1. CALL的基本概念与应用场景

在逆向工程领域，CALL技术就像是一把能够直接操控程序内部逻辑的"手术刀"。简单来说，它允许我们直接调用目标程序内部的函数，就像这些函数是我们自己写的一样。想象一下，你正在玩一个在线游戏，游戏里有个角色受伤的函数，正常情况下这个函数只能被游戏内部逻辑触发。但通过CALL技术，我们可以绕过所有游戏规则，直接让这个函数执行，实现类似"秒杀"的效果。

与HOOK技术相比，CALL更加直接暴力。HOOK像是给程序打补丁，修改它的行为；而CALL则是直接接管程序的控制权。在实际应用中，CALL特别适合那些需要在服务器端产生实际效果的操作。比如在一个MMORPG游戏中，你可能会发现本地修改角色属性只是自欺欺人，因为服务器不认可这些修改。但如果你能找到服务器认可的CALL函数，就能实现真正的属性修改。

2. 构建CALL代码块的实战步骤

2.1 逆向分析与函数定位

构建一个有效的CALL代码块，第一步是要准确找到目标函数的地址和调用约定。以游戏逆向为例，假设我们已经通过逆向分析找到了角色类的beAct函数，它负责处理角色受到攻击的逻辑。这个函数有两个参数：damage（伤害值）和index（攻击者索引）。

在x86架构下，类的成员函数通常使用thiscall调用约定，这意味着this指针会通过ECX寄存器传递，而其他参数则通过栈传递。知道这些细节非常重要，因为我们的CALL代码必须严格遵循这些约定，否则会导致程序崩溃。

2.2 汇编代码的手工构造

下面是一个典型的CALL代码块构造过程。我们会手动编写汇编指令，然后将它们转换为机器码：

push ecx ; 保存原始ECX值 push eax ; 保存原始EAX值 push 2 ; 压入第二个参数：攻击者索引(index=2) push 99999 ; 压入第一个参数：伤害值(damage=99999) mov ecx, 0xaaaaaaaa ; 设置this指针(角色对象地址) mov eax, 0xbbbbbbbb ; 设置函数地址(beAct函数地址) call eax ; 调用函数 pop eax ; 恢复EAX pop ecx ; 恢复ECX ret ; 返回

这段代码会被转换为对应的机器码字节序列。在实际操作中，我们需要特别注意以下几点：

参数压栈顺序是反向的（从右到左）
函数调用后要平衡栈
必须保存和恢复被修改的寄存器
最后一定要有返回指令

2.3 动态内存分配与代码注入

有了机器码，下一步就是将这些代码注入到目标进程的内存空间中。Windows提供了VirtualAllocEx函数来在远程进程中分配内存：

LPVOID remoteMem = VirtualAllocEx( hProcess, // 目标进程句柄 NULL, // 让系统决定分配地址 sizeof(call_data), // 分配大小 MEM_COMMIT, // 分配类型 PAGE_EXECUTE_READWRITE // 内存保护属性 ); WriteProcessMemory( hProcess, // 目标进程句柄 remoteMem, // 目标地址 call_data, // 要写入的数据 sizeof(call_data), // 数据大小 NULL // 返回写入字节数 );

这里特别要注意内存保护属性必须包含PAGE_EXECUTE，否则注入的代码将无法执行。在实际操作中，我遇到过不少因为内存属性设置错误导致注入失败的案例。

3. 线程注入的多种实现方式

3.1 创建远程线程技术

最直接的线程注入方法是使用CreateRemoteThread API。这个方法干净利落，就像在目标进程中创建了一个新的"工人"来执行我们的代码：

DWORD threadId; HANDLE hThread = CreateRemoteThread( hProcess, // 目标进程句柄 NULL, // 安全属性 0, // 栈大小(默认) (LPTHREAD_START_ROUTINE)remoteMem, // 起始地址 NULL, // 参数 0, // 创建标志 &threadId // 返回线程ID ); if (hThread == NULL) { // 错误处理 DWORD err = GetLastError(); printf("CreateRemoteThread failed: %d\n", err); }

这个方法虽然简单，但在现代反作弊系统面前可能不太隐蔽。我在实际项目中发现，很多游戏保护系统会监控CreateRemoteThread的调用。

3.2 线程劫持技术

更隐蔽的方法是劫持目标进程已有的线程。基本思路是：

枚举目标进程的所有线程
挂起选中的线程
修改线程上下文，将EIP指向我们的代码
恢复线程执行

这种方法实现起来更复杂，但隐蔽性更好。核心代码如下：

// 挂起目标线程 SuspendThread(hThread); // 获取线程上下文 CONTEXT context; context.ContextFlags = CONTEXT_FULL; GetThreadContext(hThread, &context); // 保存原始EIP DWORD oldEip = context.Eip; // 修改EIP指向我们的代码 context.Eip = (DWORD)remoteMem; // 设置新上下文 SetThreadContext(hThread, &context); // 恢复线程执行 ResumeThread(hThread);

需要注意的是，这种方法执行完后，通常还需要把EIP恢复回去，否则程序可能会崩溃。我在实际使用中通常会安排一个"返回路径"代码块来处理这个问题。

4. 高级技巧与实战经验

4.1 内联汇编的优雅实现

如果你觉得手写机器码太痛苦，可以使用编译器支持的内联汇编。这在Visual C++中特别方便：

void CallBeAct(DWORD thisPtr, DWORD funcAddr, int damage, int index) { __asm { push ecx push eax push index // 第二个参数 push damage // 第一个参数 mov ecx, thisPtr mov eax, funcAddr call eax pop eax pop ecx } }

这种写法不仅可读性更好，还能利用编译器的优化。我在性能敏感的场景下通常会优先考虑这种方式。

4.2 纯C++的函数指针魔法

如果你连内联汇编都不想用，还可以尝试纯C++的实现。虽然需要更多逆向工作，但代码会更加干净：

typedef void (__thiscall *BeActFunc)(void* thisPtr, int damage, int index); void SafeCallBeAct(void* thisPtr, BeActFunc func, int damage, int index) { // 分配可执行内存 unsigned char* stub = (unsigned char*)VirtualAlloc( NULL, 32, MEM_COMMIT, PAGE_EXECUTE_READWRITE ); // 构造调用桩 unsigned char code[] = { 0x68, 0x00, 0x00, 0x00, 0x00, // push index 0x68, 0x00, 0x00, 0x00, 0x00, // push damage 0xB9, 0x00, 0x00, 0x00, 0x00, // mov ecx, thisPtr 0xB8, 0x00, 0x00, 0x00, 0x00, // mov eax, func 0xFF, 0xD0, // call eax 0xC3 // ret }; // 填充参数 *(int*)(code + 1) = index; *(int*)(code + 6) = damage; *(void**)(code + 11) = thisPtr; *(void**)(code + 16) = func; // 复制代码 memcpy(stub, code, sizeof(code)); // 类型转换并调用 ((void(*)())stub)(); // 释放内存 VirtualFree(stub, 0, MEM_RELEASE); }

这种方法虽然代码量多了些，但完全避免了汇编，在跨平台移植时会更加方便。