【读书笔记】C++反汇编与逆向分析技术揭秘2
除法部分实在太反人类了。

[推荐]C++创建各种快照，实现 【进程名取ID】【进程ID取全部线程ID】【取模块基址】等基础功能
e语言只是那茫茫多的现成模块好用，c则要自己动手写lib。

[求助]MSVC编译链接找不到符号

礁石的爱 改了入口, 你所用到的C库函数都没法初始化, 除非你不用. 你自己手动去写

今天又来看了下这个诡异的问题,说实话就是有个心结在,为啥换个入口就未定义了,连用的机会都不给你.
无意中又发现个和我一样问题的帖子,人家的更加直接,貌似是新版vs才有...
db0K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2$3x3X3g2^5i4K6u0W2j5$3!0E0i4K6u0r3j5h3#2H3i4K6u0r3N6q4)9J5c8U0x3$3y4U0f1&6y4l9`.`.

[求助]IDA F5的问题

fjqisba 能F5出来代码就行了，IDA本身对VB的支持就不太行。有可能是VB导入函数声明错误导致的堆栈不平衡，也有可能是IDA的bug。那种push addr,然后ret的指令IDA好像并不怎么支持这个没怎么管 ...

对的,有文章介绍过,所有,我也有考虑改掉了,但是没有用,
不要局限于vb6啦,原因开篇我也说了,因为我不知道怎么用c语言复现这个问题.,程然你看到现在的这个f5确实没什么问题,但是我也见过有问题的.对于软件制作者来说,这个bug可以利用对抗菜鸟级的f5,对于破解着来说,客服了可以更加安逸的逆向.

[求助]IDA F5的问题

Chords vb 是.net程序吧,没用ida逆向过.net .net不应该是把代码翻译成中间语言码?

是VB6,你可以选pcode,也可以选native编译,这个实例是native的

[求助]MSVC编译链接找不到符号

Mxixihaha 麻烦不要把答案覆盖. 谁说MFC不可以指定入口? 不仅可以指定入口,还可以正常的像标准DLL一样初始化. 上面已经给出方法了. 不要误导. 搜索不到的,不代表就没有. 主要在于你有没有研究方法.

我是的思路确实是按照替换入口函数这个方式走的,但是书上都是介绍DLL的入口函数是`DllMain,`你可以看到也是这么做的.但是确实不知道有`_DllMainCRTStartup`这么一个C函数
在我替换了入口函数后,更是出现找不到memset这种C运行库最常用的函数的错误,我都不知道到底发了什么诡异的操作才能让link出现这种错误.
高手,受教了.虽然问题解决了,但是最开始link错误的原因依旧不明.

[求助]MSVC编译链接找不到符号

Mxixihaha 你直接用标准的DLL 加上MFC的支持 静态编译不就是你要的了? InitInstance 里面本来就有DllMain 肯定编译不过去的.

我用MFC明显就是想要用各种方便的封装类,比如窗口,对话框,那么只要调用MFC库不管使用静态还是动态都是一样必须使用库中的main函数,结果只能是冲突.

[求助]MSVC编译链接找不到符号

xuddk 为何要改入口？

原来的不能处理线程事件,所以要改

当然,我不想按常规出牌也行,就是想改.

闭嘴
香浓,哈夫曼都被楼主按在地下摩擦

[求助]这样写C++代码是什么意思呢?

值得怀疑 (hWnd); (uMsg); (wParam); (lParam); (lResult); (bHandled); 消除警告， (void)((!!((0))) || ...

1.消除什么警告?能举例一个简单的函数重现吗?
2.这里是看的这种写法,按照逻辑运算的要求,`(void)((!!((0)))` 这个东西只可能是假,.必然运行下一个函数的多余设定,接下来_CrtDbgReportW返回值不等于1, 那么继续执行__debugbreak(), 到此所有的语句都运行完了,随后逗号运算后的0就是多余的了.

[求助]这样写C++代码是什么意思呢?

yy大雄 把带宏的源代码发出来看看。

标准的WTL消息映射宏
BEGIN_MSG_MAP(CMainWnd)
    MSG_WM_CLOSE(OnClose)
END_MSG_MAP()

[求助]dll到def到lib文件生成怎么处理名字修饰?

瀚海云烟 def 先绑定固定序号  @123，然后设置导出没名字  noname 。然后就可以愉快的用名字调用，实际编译 ...

谢谢,测试成功

[求助]32位分页模式地址转换问题

tsoo 不要迷恋别人的文章, 文章都是随手写的 , 文章作者在当时可能自己都是迷迷糊糊一知半解. 有点错误很正常, 以intel手册为准.

哎，这也是没法的办法，内核书是有，理论远远大于实践的篇幅，甚至没有任何实践，初学的我真是看的云里雾里的，比如《Windows 内核情景分析》《天书夜读》都是这类，所以，这些优秀啊，精华啊，就是补充教材了，知识点不多，从理论->windbg操作，熟悉调试指令->驱动编程，DDK。就成了完整的学习曲线。

[求助]32位分页模式地址转换问题

tsoo 感觉是不是你弄混了什么, 还是我没看懂你意思. 因为从你代码以及相关截图来看, 你是在用10 10 12的方式去解析CR3, 然后查找对应的表项, 但是从你执行.formats cr4的结果来看, ...

但是，我又看了，这个系列的第二篇文章，这优秀文章怎么那么多错误呢？
https://bbs.pediy.com/thread-180989.htm
 
他讲的第五位是不是错的，最低位应该是0位，下边是我双机调试输出的信息。

用windbg看cr4，
kd> .formats cr4
Evaluate expression:
  Hex:     000006d9
  Decimal: 1753
  Octal:   00000003331
  Binary:  00000000 00000000 00000110 11011001
  Chars:   ....
  Time:    Thu Jan 01 08:29:13 1970
  Float:   low 2.45648e-042 high 0
  Double:  8.66097e-321