|
|
|
一个子函数没看懂
谢谢二位的回答。 还有两个问题没明白 第一是前面栈开了块空间,这个空间没有用吧? 第二是 通过this找偏移的这个过程. 003910C6 |. 0FB640 30 movzx eax, byte ptr [eax+30] ;零扩展this指针+0x30的数据成员(应该是一个char类型类似的数据),反正占一个字节,并且是movzx,所以应该是无符号数的 003910CA |. 6BC0 18 imul eax, eax, 18 ;this指针+0x30的数据成员*0x18,将结果保存到eax中 003910CD |. 0345 F8 add eax, dword ptr [ebp-8] ;将this指针保存到eax中作为函数返回值。 这里第二句,如上所说现在eax里应该是this的30偏移处. eax = eax * 18这里怎么会以这样的方式来变化eax呢?这样变换后eax的值还会是this的偏移么? 第三句eax += ecx同样对这个eax现在的值不太理解 我跟的过程发现调此函数前ecx = A调完该函数eax = A。 很晕 |
|
一段子函数不解
哦,能说下这个函数的作用么 |
|
一段子函数不解
回一楼,您说的那个__EH_prolog 我没有找到关于这个的介绍,能说一下这个函数的功能么? 回二楼,能说细一点么 我主要不知道这个函数对我后面的分析会不会造成什么影响,如果可以乎略我并不关心里面的东西。 但是里面明天把栈弄乱了..会不会影响后面? |
|
关于Hook WriteProcessMemory
MessageBoxA(NULL,(LPCTSTR)lpBaseAddress,"Hook!",MB_OK); 这样强转估计你的MessageBox会调用失败. MessageBoxA(NULL,"aa" ,"Hook!",MB_OK);试试 |
|
一小段代码没看懂什么意思,大大诣点下
005161E0 . 6A FF push -1 005161E2 . 64:A1 0000000>mov eax, dword ptr fs:[0] 005161E8 . 68 3EDB5600 push 0056DB3E 005161ED . 50 push eax 005161EE . B8 F4230000 mov eax, 23F4 005161F3 . 64:8925 00000>mov dword ptr fs:[0], esp 005161FA . E8 51AC0300 call 00550E50 ; _chkstk 005161FF . A1 B4135E00 mov eax, dword ptr [5E13B4] 00516204 . 53 push ebx 00516205 . 55 push ebp 00516206 . 56 push esi 00516207 . 85C0 test eax, eax 00516209 . 57 push edi 0051620A . 8BE9 mov ebp, ecx ; EBP 谢谢各位解答, 上面这段代码执行后 ecx指向的地址是不是就是刚刚分配好23F4大小栈空间的首地址啊?我比较关心最后的ebp |
|
关于od的使用
只能这样了?? |
|
关于od的使用
简单的搜了下,似乎没人提到过这个.这个功能是可以通过run跟踪来实现么?知道的帮帮忙吧.. |
|
脱壳求助--脱壳后的程序运行不了了
.....up |
|
脱壳求助--脱壳后的程序运行不了了
多麻烦您了,小弟疑惑问题较多,希望您能帮我解除这些疑惑. |
|
脱壳求助--脱壳后的程序运行不了了
可以了,谢谢.但我们生成的新的文件大小怎么不太一样呢,你生成的是483k, 我生成的是484k,但是也可以运行 ,这是怎么回事? 我新生成的: dumped_.rar 另外还有一点我用peid查脱过壳的文件 这个图可以说明什么?谢谢 |
|
脱壳求助--脱壳后的程序运行不了了
是不是因为他的原程序Upack 0.3.9 beta2s -> Dwing [Overlay]后面带个overlay所以还原后的状态也应该带着overlay?我是新手,不大懂这个overlay的意义,网上看到好像就是一些附加的数据信息,至于您说的插件不知道是哪一个,找到一个extoverlay plugin by bob是这个么?这个可以把原程序中的overlay另存出来似乎,但不知道如何这个附加到新的程序上.望指点.谢谢. |
|
脱壳求助--脱壳后的程序运行不了了
哦,很感谢您的指导。 怎么知道overlay的存在呢?如何修复,有这方面的资料或教程么,看雪老大的教程里似乎没提到这个overlay,也可能是我粗心没看到。望指教. |
|
[求助]SendMessage发送什么消息才模拟点击ToolBar上的按钮?
似乎应该找资源id吧,然后发wm_command |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值