如何找关键位置进行补数据？

看了爱美丽这个教程：https://www.52hb.com/forum.php?m ... 6orderby%3Ddateline有两个问题想请教一下
第一个问题，那个正版数据，是怎么获取到的？买的吗？或是别人买的正版帐号，之后再抓包抓到的？？
第二个问题，这个才是最重要的，就是在哪个关键位置进行补数据？而教程中是在 push eax处开始的


那么问题来了，为什么要从这个地方开始补，而不是在段首补，又或是回溯到上一层的某处来补数据呢？？一直不明白，
这个位置要怎么选，才通选正确。而我想的是：直接下recv断点，把错误的信息截取到之后，再补数据，这样不是更好吗？
但是不知道为什么在这里下recv断点后，recv的缓冲区里没有返回来错误信息，很神奇啊。

求各位大神指点。@Shark恒 @爱美丽 @jmp

怎么到达这个push  ebp   我是同通过错误提示框到达这里的，另外你通过recv断点回嗍到程序领空也是可以的，建议你深入研究下!

还有为何在push  eax处补码仅仅是我个人看法，你可以在push  eax前面代码补码进行试试，看看能否成功？另外教程是死的人是活动，建议你多研究下

爱美丽 发表于 2015-7-28 17:11
还有为何在push  eax处补码仅仅是我个人看法，你可以在push  eax前面代码补码进行试试，看看能否成功？另外 ...

下recv断点。在弹出Error：无此用户,请联系QQ:31363003这个对话框之前，recv获取的数据如下，基本就不是这个：Error：无此用户,请联系QQ:31363003


这个recv断点之后，就是弹出对话框了。然而这个recv却是如下：


怎么没有抓取到：”Error：无此用户,请联系QQ:31363003“呢？

哇塞，没发觉你竟是内部成员.

你下recv断下之后，当然不是错误数据，你需要返回上层或者下层  
你现在是在系统领空？

sure 发表于 2015-7-28 21:04
你下recv断下之后，当然不是错误数据，你需要返回上层或者下层  
你现在是在系统领空？

感谢回复。返回到上层之后(程序领空)的那个CALL下面，进行JMP到00区域再补正版数据？

菜鸟中的菜鸟 发表于 2015-7-28 23:14
感谢回复。返回到上层之后(程序领空)的那个CALL下面，进行JMP到00区域再补正版数据？

不是~你返回到程序领空的那个CALL，这里已经是错误的了,你还需要往段首push ebp处那里开始跟踪··

或者还要在回溯到上上层！ 就是你点击登陆的时候~能断下就行··断下之后 就F8慢慢跟··注意留意寄存器的变动。

我想应该能找到验证的CALL·返回的正确与错误的数据的！

sure 发表于 2015-7-29 00:41
不是~你返回到程序领空的那个CALL，这里已经是错误的了,你还需要往段首push ebp处那里开始跟踪··

或 ...

你的意思是这样的吧？ 回溯到的CALL，一定是在登陆按钮事件里的汇编代码里的，才是"最原始"的recv返回的数据，这个就是要在它下面进入空白区域补码的。而下层的call只是一层一层的调用，到最后才是调用的系统的recv，即ws2_32.dll里的导出函数。。

是这个意思吧？