大概描述下完成端口的原理

???? 一個套接字可以對應多個overlapped, 每個overlapped都由相應的一個線程來處理。而WSARecv綁定好了一個OVERLAPPED，WSARecv的調用會通知數據即將到來，同時將會觸發某線程中的GetQueuedCompletionStatus函數調用完成，然后通過第四個參數OVERLAPPED的某個偏移得到回包j然后進行后續操作。相應的WSASend也是一個同樣的調用過程。

?

調試回包最開始的思路在關鍵API下斷找到真正的回包數據

???? 通過剛才的原理已經知道直接在GetQueuedCompletionStatus這函數下斷是不行的，因為發包和回包都會回調這個函數，必須通過某種方式區分發包和回包。很顯然方法就是先在WSARecv下斷然后再GetQueuedCompletionStatus下斷。同時通過觀察找到BUFFER位于輸出參數OVERLAPPED的偏移位置，于是找到取到回包的內容。

?

下斷關鍵點

??? ?試對WSARECV,GetQueuedCompletionStatus分別hook，通過WSARecv輸入參數overlapped與GetQueuedCompletionStatus的輸出參數overlapped 匹配得到buffer地址,即得到回包內容。注意匹配的過程需要考慮多線程環境。因為WSARecv和GetQueuedCompletionStatus都是不同線程在調用。

?

實戰

??? 在實戰過程中，找解密函數，其實只需要先對WSARecv下斷，再對輸出buffer下硬件訪問斷點即可，因為只有回包有數據并且當前進程對其進行數據操作的時候才會被斷下來，而數據具體填buffer的過程，并不會觸發斷點，估計這個過程是在ring0層實現的。

總結

以上是生活随笔為你收集整理的逆向调试完成端口回包实践总结的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。