特征码定义完成, 如下所示 01DBF9BC50 00 6A 00 00 00 E8 00 00 AB 00 AB FF 00 FF 00P.j...?.??.?. 01DBF9CCBA 00 00 AB 00 AB 00 AB 00 AB 52 00 89 00 05 00?.???玆.?. 01DBF9DC00 AB 00 AB 00 AB 00 AB 89 00 42 00 04 00 E8 00.???珘.B. ....
我以PEID识别某个Delphi程序为例,跟踪其识别过程,识别其他开发平台道理类似。 检查文件合法性和使用用户定义数据文件暂不讨论。 PEID 判断一个应用程序的开发环境主要依据3个地方...
虚函数?! 虚拟+函数?!听起来很恐怖的样子。如果你知道使用微波 炉煎鸡蛋和使用煤气炉煎鸡蛋的方法和步骤绝对不一样的话,就应该知道为什么需要虚拟函数和在什么情况下使用...
从上篇中的注册窗口类的时候可以看出消息处理函数的地址为00402318。从这里也可以看出不太像VC, je , jl 的一大堆。 流程概述 1.WM_CREATE消息,申请空间创建内存图像和游戏绘图DC,以及...
文章分析的程序和外挂可以本站下载区下载 程序说明: 以Windows消息循环的方式来分析这个游戏,先用PEID查看,发现什么也没有,再用OD载入发现没有加壳。从代码的风格上来看不是用...
分析消息循环后面的一个最重要的 call 00403400,它处理游戏中子弹,背景星星,飞机的运动,和它们的碰撞等。理解了这些做外挂就不成问题了(比如:炸不死的飞机,甚至可以让飞机自...
以下程序至少有两个经典的 bug ,请大家注意观察一下。 ------------------------------------------ #include iostream.h #include stdlib.h...
那天晚上在群里和backer下载一端口扫描器(一看就知道是qq木马),我们把它反汇编把其中的盗qq的邮箱给弄出来了。下面抽工作之余我对这个家伙进行了详细的分析: 由于当时没有装虚...
函数的调用约定主要是声明以下信息: ? 参数的入栈顺序; ? 校正栈顶者; ? 参数传递方式; ? 可否不定参数等。 在 VC++6.0 中支持 __stdcall 、 __cdecl 、 pascal 、 __fastcall 等调用约定,在...
在我们以下的讨论中,你需要去准备一些东西,首先去下载一个开发环境识别工具,比如 PEID ,或者是FI也可以。 然后你需要下载一个反汇编工具,SoftICE\OllDbg\W32dsm,只要其中一个就可...