|
|
|
[求助]exe文件的怪事
从这些特征来看。可以推论出磁盘上的某一个地方肯定存在luanch.exe的备份文件,可能是文件中的资源块,也可能是加密过的二进制文件,甚至是luanch.exe运行的时候把自身复制一份写入磁盘。 luanch.exe开始运行: 1.检测是否有自身的实例在运行。 如果有则直接运行游戏,如果没有则继续第2步。 2.检测自己的名字有无更改。 有,则直接运行游戏,没有则继续第3步。 3.释放或还原备份品,并命名为luanch.bin,然后启动luanch.bin luanch.bin开始运行:(和luanch.exe完全一样) 1.检测是否有自身的实例在运行。 这回肯定是有实例的,直接运行游戏,因为luanch.exe没有退出。 2.马上结束掉luanch.exe,或者通知luanch.exe退出。 楼主可以研究一下递归算法,虽然重复调用自身,但是每一次调用的过程和结果都不一样。 我不知道这个游戏是怎么样的,但是我认为这种方法应该可以做到这个效果。 |
|
[原创]WDK编译64位汇编
啊,一直没注意这点。。。。。 |
|
[求助]《软件加密技术内幕》有清晰点的吗?
人家作者写书是为了卖钱的,网上的复制品都是盗版的,虽然使用盗版是我国的基本国情(如操作系统),但是你不能把这种事情明着说出来啊。 |
|
[分享]发了个帖子发现可以买个激活码了 发激活码了~~~
3Q,用了。终于升会员了! |
|
关于SetWindowsHookEx的一个小疑惑,在线等大神
跨进程的映射是FileMapping,注入DLL一般是用LoadLibrary,LoadXXX是不会把已加载的数据段一起映射的,除非该数据段含有共享的属性。把共享的全局变量单独放到一个属性为共享的节里面就好,这是常规做法。 |
|
关于SetWindowsHookEx的一个小疑惑,在线等大神
每个进程的空间都是私有的,即使加载同一个DLL也一样。假设DLL访问自身的全局变量a(地址:0x12345678),那N个加载了改DLL的进程中的地址0x12345678都是自身私有的。Dll没有自己的地址空间,所以依赖于进程,Dll访问的0x12345678其实都是各个进程自己的0x12345678。 |
|
[求助]用户API与原生API之间有对应关系吗?
ntdll及其调用者(比如user32/kernel32)是在用户空间,ntoskrnl是在系统空间。 事实上没有什么api是不能拦截的,只是用户空间的比较容易拦截,系统空间的要困难点(特别是有补丁管理的系统,一拦截就蓝屏)。 一般人在用户态下拦截的话,一般都会对ntdll下手。所以只要有人愿意拦截,就没有所谓的“更安全一点”,反而调用起来更麻烦。 至于Zw和Nt的联系,最简单的说法就是用户模式下没区别,系统模式中Zw检查参数是否合理之后调用Nt。 在ntdll中(Zw/Nt)是系统函数,在ntoskrnl中也有(Zw/Nt),有些人称之为服务例程。调用顺序是函数最终会调用例程。这些东西在百度上一搜一大把。 |
|
|
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值