[求助]请问Ollyscript脚本如何找到调用dll的地址-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 2 楼脚本不会，可以看看SCRIPT资料，插件的话就是 t_module * pmodule; pmodule = Findmodule(dwAddress); dwAddress为模块中任意一地址 2012-6-18 17:43 0
glucose 雪币： 245 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	glucose 1 3 楼没找到合适的解决办法。不过我的初衷是进入DLL的地址空间去搜索16进制代码，用FIND指令无法找到dll内存去。发现Ollyscript有另外一条指令可以全内存空间查找，为FINDMEM. 算是另外一个简单的解决办法吧, 在这里记录一下。 FINDMEM #FF??112233# //用这个指令可以全内存查找，可以找到DLL里面去 FIND 401000, #FF??112233## // 这个指令只能搜索查到exe内存 2012-6-27 09:52 0
gzfuqun 雪币： 65 活跃值： (171) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 117 粉丝 0 关注私信	gzfuqun 4 楼这个很简单的，用GMA "B",ENTRY就可以了 2012-6-27 13:28 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 5 楼楼主，直接写插件吧，插件比脚本灵活。 2012-6-27 19:41 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 6 楼 pmodule = Findmodule(dwAddress); pmodule里包含了模块大部分的基本信息，起始地址，大小，读写执行标记等。 2012-6-27 19:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 2 楼脚本不会，可以看看SCRIPT资料，插件的话就是 t_module * pmodule; pmodule = Findmodule(dwAddress); dwAddress为模块中任意一地址 2012-6-18 17:43 0
glucose 雪币： 245 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	glucose 1 3 楼没找到合适的解决办法。不过我的初衷是进入DLL的地址空间去搜索16进制代码，用FIND指令无法找到dll内存去。发现Ollyscript有另外一条指令可以全内存空间查找，为FINDMEM. 算是另外一个简单的解决办法吧, 在这里记录一下。 FINDMEM #FF??112233# //用这个指令可以全内存查找，可以找到DLL里面去 FIND 401000, #FF??112233## // 这个指令只能搜索查到exe内存 2012-6-27 09:52 0
gzfuqun 雪币： 65 活跃值： (171) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 117 粉丝 0 关注私信	gzfuqun 4 楼这个很简单的，用GMA "B",ENTRY就可以了 2012-6-27 13:28 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 5 楼楼主，直接写插件吧，插件比脚本灵活。 2012-6-27 19:41 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 6 楼 pmodule = Findmodule(dwAddress); pmodule里包含了模块大部分的基本信息，起始地址，大小，读写执行标记等。 2012-6-27 19:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复