请教NT下一个类似98hmemcpy的断点POINT H的问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
love8909 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 0 关注私信	love8909 2004-9-9 22:13 2 楼 0 为什么没有人回复呢？
lzqgj 雪币： 280 活跃值： (281) 能力值： ( LV9，RANK：250 ) 在线值：发帖 38 回帖 312 粉丝 1 关注私信	lzqgj 6 2004-9-10 08:09 3 楼 0 在user32.dll中搜索几个十六进制字符，下断即可。具体哪几个，不记得了。看文章。
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 2004-9-10 12:54 4 楼 0 It searches USER32.DLL for the following byte-pattern: 8B C1 C1 E9 02 F3 A5 8B C8 83 E1 03 F3 A4 E8 Once it is found, it returns you the address of the location it was found + 5.. i.e: before the memory copying. This pattern should occur in the first 0x3FFFF bytes of USER32. Example: Code: 77D46706 mov eax, ecx 77D46708 shr ecx, 2 77D4670B repe movsd ; <-- break on this instruction 77D4670D mov ecx, eax 77D4670F and ecx, 3 77D46712 repe movsb 77D46714 call sub_77D46722 I haven't researched this for long, but this piece of code appears to be where memory is copied from the gui-item to the user-supplied buffer. Tracing up a little brings up a bunch of references to SendMessage & GetWindowXXXX stuff... which would make sense. nice job, to whoever found this.
love8909 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 0 关注私信	love8909 2004-9-10 14:32 5 楼 0 搜索了，但是搜索不到啊
heng9ml 雪币： 212 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 203 粉丝 0 关注私信	heng9ml 1 2004-9-10 18:52 6 楼 0 http://www.chinadfcg.com/viewthread.php?tid=7562
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (5)
love8909 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 0 关注私信	love8909 2004-9-9 22:13 2 楼 0 为什么没有人回复呢？
lzqgj 雪币： 280 活跃值： (281) 能力值： ( LV9，RANK：250 ) 在线值：发帖 38 回帖 312 粉丝 1 关注私信	lzqgj 6 2004-9-10 08:09 3 楼 0 在user32.dll中搜索几个十六进制字符，下断即可。具体哪几个，不记得了。看文章。
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 2004-9-10 12:54 4 楼 0 It searches USER32.DLL for the following byte-pattern: 8B C1 C1 E9 02 F3 A5 8B C8 83 E1 03 F3 A4 E8 Once it is found, it returns you the address of the location it was found + 5.. i.e: before the memory copying. This pattern should occur in the first 0x3FFFF bytes of USER32. Example: Code: 77D46706 mov eax, ecx 77D46708 shr ecx, 2 77D4670B repe movsd ; <-- break on this instruction 77D4670D mov ecx, eax 77D4670F and ecx, 3 77D46712 repe movsb 77D46714 call sub_77D46722 I haven't researched this for long, but this piece of code appears to be where memory is copied from the gui-item to the user-supplied buffer. Tracing up a little brings up a bunch of references to SendMessage & GetWindowXXXX stuff... which would make sense. nice job, to whoever found this.
love8909 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 0 关注私信	love8909 2004-9-10 14:32 5 楼 0 搜索了，但是搜索不到啊
heng9ml 雪币： 212 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 203 粉丝 0 关注私信	heng9ml 1 2004-9-10 18:52 6 楼 0 http://www.chinadfcg.com/viewthread.php?tid=7562
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复