[求助]flash加载地址的问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
plume 雪币： 235 活跃值： (129) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 41 粉丝 0 关注私信	plume 2013-7-6 21:15 2 楼 0 特征码，寻找一段比较长的别处不可能有的片段
LastBlade 雪币： 382 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 35 粉丝 0 关注私信	LastBlade 2013-7-7 06:09 3 楼 0 哦，我找个相对固定的地址就是不想搜索特征码。因为自己编写程序从很大的内存空间中找特征码，很费时间。达不到CE那样的，几秒就搜出来的效果。
LastBlade 雪币： 382 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 35 粉丝 0 关注私信	LastBlade 2013-7-9 19:46 4 楼 0 顶起，大牛来帮忙啊
豆浆蟹蟹雪币： 21 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 66 粉丝 0 关注私信	豆浆蟹蟹 2013-8-7 17:55 5 楼 0 我也遇到过，我的办法是，找到IE进程，然后找flash的模块地址，这样就可以了
LastBlade 雪币： 382 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 35 粉丝 0 关注私信	LastBlade 2013-8-8 07:59 6 楼 0 您能再说的详细点么？
豆浆蟹蟹雪币： 21 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 66 粉丝 0 关注私信	豆浆蟹蟹 2013-8-8 22:55 7 楼 0 试试看呢 DWORD dwProcessID = GetCurrentProcessId(); MODULEENTRY32 modle32; modle32.th32ProcessID = dwProcessID; modle32.dwSize = sizeof(modle32); HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,dwProcessID); if (INVALID_HANDLE_VALUE == hSnap ) { AfxMessageBox(_T("Call CreateToolhelp32Snapshot failed")); } g_dwBaseAddr = 0; BOOL bMore = Module32First(hSnap,&modle32); while(bMore) { if (dwProcessID == modle32.th32ProcessID && NULL != wcsstr(modle32.szExePath, _T("Flash"))) // 模块名字 { Dbg_Print("modBaseAddr:%p,modBaseSize:%8u,szExePath:%S", modle32.modBaseAddr,modle32.modBaseSize,modle32.szExePath); g_dwBaseAddr = (DWORD)modle32.modBaseAddr; // 基址 break; } bMore = Module32Next(hSnap,&modle32); }
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (6)
plume 雪币： 235 活跃值： (129) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 41 粉丝 0 关注私信	plume 2013-7-6 21:15 2 楼 0 特征码，寻找一段比较长的别处不可能有的片段
LastBlade 雪币： 382 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 35 粉丝 0 关注私信	LastBlade 2013-7-7 06:09 3 楼 0 哦，我找个相对固定的地址就是不想搜索特征码。因为自己编写程序从很大的内存空间中找特征码，很费时间。达不到CE那样的，几秒就搜出来的效果。
LastBlade 雪币： 382 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 35 粉丝 0 关注私信	LastBlade 2013-7-9 19:46 4 楼 0 顶起，大牛来帮忙啊
豆浆蟹蟹雪币： 21 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 66 粉丝 0 关注私信	豆浆蟹蟹 2013-8-7 17:55 5 楼 0 我也遇到过，我的办法是，找到IE进程，然后找flash的模块地址，这样就可以了
LastBlade 雪币： 382 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 35 粉丝 0 关注私信	LastBlade 2013-8-8 07:59 6 楼 0 您能再说的详细点么？
豆浆蟹蟹雪币： 21 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 66 粉丝 0 关注私信	豆浆蟹蟹 2013-8-8 22:55 7 楼 0 试试看呢 DWORD dwProcessID = GetCurrentProcessId(); MODULEENTRY32 modle32; modle32.th32ProcessID = dwProcessID; modle32.dwSize = sizeof(modle32); HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,dwProcessID); if (INVALID_HANDLE_VALUE == hSnap ) { AfxMessageBox(_T("Call CreateToolhelp32Snapshot failed")); } g_dwBaseAddr = 0; BOOL bMore = Module32First(hSnap,&modle32); while(bMore) { if (dwProcessID == modle32.th32ProcessID && NULL != wcsstr(modle32.szExePath, _T("Flash"))) // 模块名字 { Dbg_Print("modBaseAddr:%p,modBaseSize:%8u,szExePath:%S", modle32.modBaseAddr,modle32.modBaseSize,modle32.szExePath); g_dwBaseAddr = (DWORD)modle32.modBaseAddr; // 基址 break; } bMore = Module32Next(hSnap,&modle32); }
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复