|
[求助]如何取一个程序已经加载的 dll基址
LoadLibrary()即可找到模块的基址。 |
|
[求助]未知壳 ,大量jmp,谁能给个思路
请大家注意安全: Google 访问此网站时出现了什么情况? |
|
|
|
|
|
|
|
[求助]图片水印的断点
又看了一下,0x004743a0是关键函数。该函数返回8时注册成功。返回4是试用过期。 0x004fe6c0处是一个指针,指向一个跟注册有关的结构,该指针指向动态分配的堆内存。其中偏移0x60处即是注册成功标志。 推测虚拟设备的驱动程序是直接读取注册表中的注册信息来验证的,所以对程序进行爆破是无效的,驱动程序还是认为没有注册。 现在可行的一个办法是分析应用程序中注册算法,用“真正”的注册码来使驱动程序相信你已经注册了。 有能力的可以直接调试驱动程序。我没整过驱动,不确定,所以只是猜测。 |
|
|
|
[求助][求助]DIY 没法没法的了.
思路: 钩住窗口函数,过滤WM_KEYDOWN消息(或??WM_CHAR)消息,然后转换成为WM_COMMAND消息将它POST给窗口。WM_COMMAND的参数,就是模拟菜单发给的参数。 |
|
[求助]请教一个反汇编阅读的问题。
关于标志位与条件码,常用的一般都很容易记住的,不需要死记的,理解了就记住了。 如果实在没把握,就查一下指令手册。 手头没有手册的可以看电子档,手册中有每每次指令的详细说明,包括对标志位的影响和条件码对应什么标志位: http://www.intel.com/products/processor/manuals/ |
|
[求助]我用OD调试的问题大家帮我看看是怎么回事
不要使用Ctrl+F9,直接把代码往下拉,然后F2+F9。 Ctrl+F9据我的猜测可能是使用了自动单步跟踪的方式实现的,不过没有证实。在有些情况下(我最常遇见的是在多线程时),就会出现你所说的情况。 具体原因没有研究过。反正用F2+F9就行了,F4有时可以,有时也不行的。 |
|
[求助]请教一个反汇编阅读的问题。
只要对指令执行的机理有所了解,这个很简单的。 先说JL这条指令,助记符的意思是“小于则跳转(Jump if Less)” 它与CPUEFLAGS的对应关系为:当OF!=SF时,条件跳转成立。 再说TEST指令对EFLAGS的影响,由于TEST指令实际进行的是逻辑“与”运算,所以OF置0,SF与结果的最高位相同,在上例TEST EAX, EAX中,SF与EAX的BIT31相同。 结合起来就是,当EAX的最高位是1时则跳转。 可以看到,将JL改成JS也是一样的功能,因为TEST指令将OF置0了。 |
|
|
|
|
|
|
|
[求助]dos程序反汇编,望高手相助!
学汇编不单是学指令,最重要的是学编程。 |
|
|
|
[求助]图片水印的断点怎么下?
这个。。。GDI的东西比较难调,关键是不好下断点。 因为GDI的函数基本上都是被程序频繁地调用,下断点也不容易断到想要找的代码处。 你可以这样试试,如果是图片水印: 如果水印图片是以资源方式存储,可以先用资源编辑工具看一下资源的ID,然后下断点LoadResource()或LoadBitmap()之类的函数,运行程序,它加载资源时就会被断下,记下返回的资源句柄,如果我没记错的话这个句柄好像就是个指针,尝试下内存断点试试。 如果不行,再试试CreateDIBBitmap函数,或者BitBlt,不过这些函数可能会不停地发生中断,所以可能需要设一下条件断点,比如BitBlt可以以坐标为断点等,自己发挥吧,我也没弄过水印的东西,不知道应该怎么弄。 以上全是猜的,如果碰巧有效,那是运气。如果无效,也在意料之中。 |
|
[分享]一个sf.net等网站的镜像站点
ARP欺骗太可恶,可恶至极! |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值