能力值:
( LV6,RANK:90 )
|
-
-
2 楼
路过帮顶下 我也想知道
|
能力值:
( LV6,RANK:90 )
|
-
-
3 楼
函数用什么都能看到,exescope就行。
参数不是那么容易的,除了跟踪以外没什么其他的好办法,如果没有调用这个DLL的程序就更困难了。
有原来的调用的程序的话就用od载入 运行 在DLL的代码段设个内存断点之后就等着断下来
断下来后执行到这个函数结束返回到主程序中,看看程序怎么调用的call
不知道搂主程度如何,Win32中参数传递的方式如果了解的话就容易多了
stdcall方式就看call之前都push了些什么参数顺序是从下至上,就是先push最后一个参数。
pascall方式比较麻烦,两个以下参数时用eax和edx传递,多了还是要用堆栈。跟stdcall差不多不过头两个函数还使用eax和edx传的。
如果只有dll的话就只能静态分析了,看看函数内部怎么使用堆栈的,调用方式不清楚的时候比较困难,stdcall的话esp+4是第一个参数esp+8是第二个esp+C是第三个依次类推,pascal的eax是第一个edx是第二个,esp+4是第三个。
基本上原理就是这样,建议多看看Win32底层的书,才能搞清这种问题
我知道的就这些,可能有误,仅供参考
|
|
|