能力值:
( LV2,RANK:10 )
|
-
-
2 楼
每次装系统的时候这个地址都要变,每次装了都要重新找。
可以2种方法找到。
1,自己搞个程序,得到消息处理的地方。然后跟到 USER32.DLL模块去
2,直接搜索代码 在USER32.DLL里面搜 MOV EAX,DWORD PTR FS:[18]
不一定一次就找到哈。找到满足下面几条指令的地方就多半都是了
77D18718 FF75 18 PUSH DWORD PTR SS:[EBP+18]
77D1871B FF75 14 PUSH DWORD PTR SS:[EBP+14]
77D1871E FF75 10 PUSH DWORD PTR SS:[EBP+10]
77D18721 FF75 0C PUSH DWORD PTR SS:[EBP+C]
77D18724 64:A1 18000000 MOV EAX,DWORD PTR FS:[18]
77D1872A 8088 B40F0000 0>OR BYTE PTR DS:[EAX+FB4],1
77D18731 FF55 08 CALL DWORD PTR SS:[EBP+8]
|
能力值:
( LV3,RANK:20 )
|
-
-
3 楼
谢谢楼上哈,我先试试 但是user32.InternalCallWinProc这个函数为什么在user32.dll中的导出表里找不到呢?
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
谢谢楼上哈,我先试试 但是user32.InternalCallWinProc这个函数为什么在user32.dll中的导出表里找不到呢?
直接下od插件省得找啊。
顺便发上来吧
ApiBreak.rar
|
能力值:
( LV3,RANK:20 )
|
-
-
5 楼
楼上的两位,那个函数我找到了,地址确实各个系统都不一样,而且也并没有出现在导出表里,只能自己手动找.那个breakapi的插件也挺好用的,把常用的api都列出来了,虽然万能断点的地址在我的系统里并不适用. 要不你们谁回答了我其他的问题,我就把kx给谁吧^_^
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
|
|
|