能力值:
( LV2,RANK:10 )
|
-
-
2 楼
我能读取到的信息就这些了,然后我是一个菜鸟!如果大牛看到了我的回复 就给我一些点评把!随便啥点评 ! thx
-----------------------------------------------------------------------------------------------
0164A8AB |. 68 D0428301 push SGTool.018342D0 ; 导入词库(覆盖)失败!请稍后重试。 //这里应该把 "导入词库(覆盖)失败!请稍后重试。" 这段话所在的内存地址防盗堆栈里
0164A8B0 |. 8D8C24 F00300>lea ecx,dword ptr ss:[esp+0x3F0] //取出堆栈中的地址 给ECX
0164A8B7 |. E8 845BFEFF call SGTool.01630440 //进入函数 ,这里应该是给你选择的,比如 确定 取消
0164A8BC |. 68 5C468101 push SGTool.0181465C ; 好的 //貌似如果你选确定了!他就给你提示好的 //系统函数 我估计系统的64位的 WIN7 或者 WIN8
0164A8C1 |. 8D8C24 EC0300>lea ecx,dword ptr ss:[esp+0x3EC] //又取地址了
0164A8C8 |. E8 930BFEFF call SGTool.0162B460 // 这个貌似是自定义函数
0164A8CD |. E8 EEBF0000 call SGTool.016568C0 // 这个貌似是自定义函数
0164A8D2 |. 8B30 mov esi,dword ptr ds:[eax] //这里应该是利用ESI 保存 EAX地址中的值
0164A8D4 |. 55 push ebp
0164A8D5 |. 55 push ebp
0164A8D6 |. 57 push edi
0164A8D7 |. 57 push edi
0164A8D8 |. E8 E3BF0000 call SGTool.016568C0 //内平栈 会是系统函数吗? 我记得系统函数大部分都是内屏栈
0164A8DD |. 8B80 C8250000 mov eax,dword ptr ds:[eax+0x25C8] //EAX作为基址 + base 到处寻找什么
0164A8E3 |. 50 push eax
0164A8E4 |. E8 D7BF0000 call SGTool.016568C0 //这里是一个函数
0164A8E9 |. 8B88 C4250000 mov ecx,dword ptr ds:[eax+0x25C4] //EAX作为基址 + base 到处寻找什么
0164A8EF |. 51 push ecx
0164A8F0 |> E8 9BB2C9FF call SGTool.012E5B90 //这里是一个函数
0164A8F5 |. 50 push eax
0164A8F6 |. 56 push esi
0164A8F7 |. 8D8C24 080400>lea ecx,dword ptr ss:[esp+0x408]
0164A8FE |. E8 4D10FEFF call SGTool.0162B950 //这里显然ESP是个重要的数据,没堆栈观察
0164A903 |. 8D8C24 E80300>lea ecx,dword ptr ss:[esp+0x3E8]
0164A90A |. E9 EF000000 jmp SGTool.0164A9FE //应该是上面或者下面有地址跳到这一带!不然下面的代码一直到 0164A9FE 就没有任何意义了
0164A90F |> 3BFB cmp edi,ebx
0164A911 |. 75 6B jnz XSGTool.0164A97E //JNZ 根据 ZF 标志位是否置位来判断
0164A913 |. 8D8C24 F00300>lea ecx,dword ptr ss:[esp+0x3F0]
0164A91A |. E8 715AFEFF call SGTool.01630390
0164A91F |. C68424 B81F00>mov byte ptr ss:[esp+0x1FB8],0xC
0164A927 |. E8 94BF0000 call SGTool.016568C0
0164A92C |. 05 041B0000 add eax,0x1B04
0164A931 |. 50 push eax
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
-----------------------------------------------------------------------------------------------
0164A8AB |. 68 D0428301 push SGTool.018342D0 ; 导入词库(覆盖)失败!请稍后重试。 //这里应该把 "导入词库(覆盖)失败!请稍后重试。" 这段话所在的内存地址防盗堆栈里
0164A8B0 |. 8D8C24 F00300>lea ecx,dword ptr ss:[esp+0x3F0] //取出堆栈中的地址 给ECX
0164A8B7 |. E8 845BFEFF call SGTool.01630440 //进入函数 ,这里应该是给你选择的,比如 确定 取消
0164A8BC |. 68 5C468101 push SGTool.0181465C ; 好的 //貌似如果你选确定了!他就给你提示好的 //系统函数 我估计系统的64位的 WIN7 或者 WIN8
0164A8C1 |. 8D8C24 EC0300>lea ecx,dword ptr ss:[esp+0x3EC] //又取地址了
0164A8C8 |. E8 930BFEFF call SGTool.0162B460 // 这个貌似是自定义函数
0164A8CD |. E8 EEBF0000 call SGTool.016568C0 // 这个貌似是自定义函数
0164A8D2 |. 8B30 mov esi,dword ptr ds:[eax] //这里应该是利用ESI 保存 EAX地址中的值
0164A8D4 |. 55 push ebp
0164A8D5 |. 55 push ebp
0164A8D6 |. 57 push edi
0164A8D7 |. 57 push edi
0164A8D8 |. E8 E3BF0000 call SGTool.016568C0 //内平栈 会是系统函数吗? 我记得系统函数大部分都是内屏栈
0164A8DD |. 8B80 C8250000 mov eax,dword ptr ds:[eax+0x25C8] //EAX作为基址 + base 到处寻找什么
0164A8E3 |. 50 push eax
0164A8E4 |. E8 D7BF0000 call SGTool.016568C0 //这里是一个函数
0164A8E9 |. 8B88 C4250000 mov ecx,dword ptr ds:[eax+0x25C4] //EAX作为基址 + base 到处寻找什么
0164A8EF |. 51 push ecx
0164A8F0 |> E8 9BB2C9FF call SGTool.012E5B90 //这里是一个函数
0164A8F5 |. 50 push eax
0164A8F6 |. 56 push esi
0164A8F7 |. 8D8C24 080400>lea ecx,dword ptr ss:[esp+0x408]
0164A8FE |. E8 4D10FEFF call SGTool.0162B950 //这里显然ESP是个重要的数据,没堆栈观察
0164A903 |. 8D8C24 E80300>lea ecx,dword ptr ss:[esp+0x3E8]
0164A90A |. E9 EF000000 jmp SGTool.0164A9FE //应该是上面或者下面有地址跳到这一带!不然下面的代码一直到 0164A9FE 就没有任何意义了
0164A90F |> 3BFB cmp edi,ebx
0164A911 |. 75 6B jnz XSGTool.0164A97E //JNZ 根据 ZF 标志位是否置位来判断
0164A913 |. 8D8C24 F00300>lea ecx,dword ptr ss:[esp+0x3F0]
0164A91A |. E8 715AFEFF call SGTool.01630390
0164A91F |. C68424 B81F00>mov byte ptr ss:[esp+0x1FB8],0xC
0164A927 |. E8 94BF0000 call SGTool.016568C0
0164A92C |. 05 041B0000 add eax,0x1B04
0164A931 |. 50 push eax
|
能力值:
( LV3,RANK:20 )
|
-
-
4 楼
恩谢谢大牛了。辛苦了
|
|
|
