能力值:
( LV11,RANK:180 )
|
-
-
2 楼
你的动态库的名字? 可以帮你看看
|
能力值:
( LV4,RANK:50 )
|
-
-
3 楼
文件有点大,附件上载不了,请问该怎么传给你?
|
能力值:
( LV11,RANK:180 )
|
-
-
4 楼
是微软的 dll 吗?把文件名告诉我,
|
能力值:
( LV9,RANK:230 )
|
-
-
5 楼
[QUOTE=;]...[/QUOTE]
第一个问题。。DLL的导出函数可以有两种方式,一种是函数名,一种是序号,如果只是序号的话需要在def文件中加关键词,我记得好像是NONAME,如果这样做了设置,貌似没啥办法帮他加个函数名哈,或者是我不知道的方法。。。
第二个问题。。你是在堆区还是栈区的?栈区的话对那个值的改变代码肯定在那函数里面,结合上下代码看看了,堆区偶也没啥方法,new出来的谁知道跑哪个地方去了。。。
第三个问题。。用Ctrl+G,输入地址,就可以到你想去的地址了
|
能力值:
( LV4,RANK:50 )
|
-
-
6 楼
回SyserDebug兄:
dll不是微软的,是一个共享软件的,另外,我也同时看了angelqkm大侠的解释,我感觉是不是他说的那样?在编译时对def文件做了手脚?但如果这样的话,动态库的调用方岂不是要自己建立个对应库?否则他自己都要面对那些无意义的数字了
angelqkm兄:
谢谢你,谢谢你,你的回答对我很有帮助。感觉od很强大,但我对它的了解太少了,还不怎么会用,很惭愧。
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
1.为了防止逆向,作者什么手段想不出来?我就曾经干过dll导出函数全部是无意义的序数的事情,自己.h文件留一份调用说明就可以了.以前没有Delphi的sig,不是自己一个一个笨乎乎的逆向了一个月的库函数? 
2.
a.貌似VS2003以后的编译器都有个开关,随机加载基址什么的好像.看图片.
b.这个变量就像楼上有人说的,是程序临时构建的变量还是一个重定位的全局变量,前者看是堆上分配的(new)还是在函数的栈上创建的?后者看基址和重定位表.
3.不多说了.
|
能力值:
![]()
(RANK:330 )
|
-
-
8 楼
UnDecorateSymbolName又不是什么好东西
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
兄弟,你的软件被人keygen啦,今天是不是在升级啊?
你是搞内核的,这次来点有难度的~~ 
|
能力值:
![]()
(RANK:1060 )
|
-
-
10 楼
[QUOTE=;]...[/QUOTE]
syser要猥琐早猥琐了,不会等到今天
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
记得3721刚开始也不是那么猥琐的.........打个不恰当的比方啊,我跟syser没同事过,只是见过他的工牌号而已.
另外,syser应该努力使这个调试器易用化,或者"平民化",在OD2.0迟迟没有推出的现在,syserdebug应该有很大的空间,如果操作和易用性迈进一大步,我想会有很多人支持你的劳动的,我首先买一个授权.
写外壳可以卖钱,为什么调试器不能卖钱?毕竟调试器是我们的工具啊.
内核调试毕竟太专业了点,如果作者能借此开发出一套平民化的内外兼修的工具,那真是逆向届的一大幸事.
|
能力值:
( LV11,RANK:180 )
|
-
-
12 楼
一个只用 序号导出 的 dll 的例子
关键是 def 文件
LIBRARY
; For Win32 DLLs, only EXPORTs really required.
EXPORTS
??0Ctestdll@@QAE@XZ @ 2 NONAME
?fntestdll@@YAHXZ @ 3 NONAME
?ntestdll@@3HA @ 4 NONAME DATA
??4Ctestdll@@QAEAAV0@ABV0@@Z @ 1 NONAME
|
能力值:
( LV11,RANK:180 )
|
-
-
13 楼
第3方的就没法搞了,没有PDB也没有 def 这个就没法搞了。只能自己分析代码了
|
能力值:
( LV4,RANK:50 )
|
-
-
14 楼
原来还可以这样!长见识了,看上边的几位讨论,您好像在开发调试器,能否给个demo版体验一下啊?多谢了
|
|
|
|
