下面来说说具体的,准备工具ollyice下载地址:http://www.kumouse.com/article.asp?id=46首先来讲一下常用的防多开的方法:方法1: 查找窗口法,使用FindWindowA(W)或GetWindowTextA(W)方法2: 使用互斥对象,用到CreateMutexA(W)方法3: 使用共享区块QQ使用的是方法2,具体程序要具体分析(由于我水平有限讲解不了)如果分析不出来可以上google查查,网上有很多牛人的.先打开一个QQ游戏的窗口然后(原因看下边),我们用ollyice打开qqgame.exe我的文件版本是2.3.103.9......
Read more
归档于 ‘汇编&逆向’ 分类
转移指令的机器码形式:位移量=目的地址 - 超始地址 - 跳转指令本身的的长度转移指令机器码="转移类别机器码" + "位移量"......
Read more
Read more
2008年07月27日我出于兴趣,编写CALL外挂反编译分析时,发现汇编功底太差,当初在大学学到的知识也都快还给老师了,汇编成为我现阶段最大的障碍,一直都懒得看,现在真的要恶补一下了,我在1年前买了一本 罗云彬编写的《Windows 环境下32位汇编语言程序设计》 至今也只看完了第一章。今天我在次宣言,要在半年之内达到独立分析大部分网游Call函数正确地址的水平和破解简单的加密,脱壳等。此版就是为了此目的开的,在学......
Read more
Read more
文件是否是动态链接库取决于它的文件结构,动态链接库和可执行文件同样使用标准的PE文件格式,公文件头中的属性位不同而以,所以EXE中的一些特征也存在于动态链接库中,比如,可以定义并使用各种资源,可以导入并使用其他动态链接库中的函数等.要牢记一个概念:动态链接库是被映射到其他应用程序的地址空间中执行的,它和应用程序可以看成是"一体"的,动态链接库可以使用应用程序的资源,它所拥有的资源也可以......
Read more
Read more
使用内存映射文件1.内存映射文件函数内存映射文件包括:CreateFileMapping,OpenFileMapping,MapViewOfFile,UnmapViewOfFile和FlushViewOfFile.创建一个内存映射文件对象使用CreateFileMapping这个步骤内存映射文件的用途(是在磁盘上建立内存映射文件,还是在页文件中建立进程间共享的映射invoke CreateFileMapping,hFile,lpFileMappingAttributes,flProtect,dwMaximumSizeHigh,dwMaximumSizeLow,lpName.if eax mov hFileMap,eaxhFile:指定一个文件句柄.如果句柄是属于一个已经打开的......
Read more
Read more
1.创建和删除目录创建目录使用CreateDirectory函数,例如:szDir db 'c:\dir1\dir2',0...invoke CreateDirectory,addr szDir,NULL如果创建成功返回TRUE,失败返回FALSE注意:创建目录的上层目录必须存在,创建目录名不能与同目录下的目录或文件同名删除目录使用RemoveDirectory函数szDir db 'c:\dir1\dir2',0...invoke RemoveDirectory,addr szDir如删除成功返回TRUE,否则返回FALSE注意:被删除的是参数中指出的最后一级目录,删除目录必须是一个空目录,删除的......
Read more
Read more
1.卷标操作驱动器创建,修改,删除卷标都可以使用SetVolumeLabel函数szPath db 'c:\',0szVolume db 'System',0invoke SetVolumeLabel,addr szPath,szVolumeszPath:指出了要设置卷标的逻辑驱动器的根目录szVolume:指向包含卷标字符串的缓冲区删除卷标的二种方法szPath db 'c:\',0szVolume db 0invoke SetVolumeLabel,addr szPath,szVolume或szPath db 'c:\',0invoke SetVolumeLabel,addr szPath,NULL如果函数执行成功返回值是TRUE,否则返回FALSE2.逻辑驱动器的检测检测......
Read more
Read more
1.拷贝文件拷贝文使用CopyFile或CopyFileExinvoke CopyFile,lpExistingFileName,lpNewFileName,bFailIfExists函数将lpExistingFileName指定文件拷贝为lpNewFileName指定的文件bFailIfExists指定目标存在时的动作,指定为TRUE,拷贝失败;指定为FALSE则覆盖掉原来的文件,拷贝出来的新文件的属性和原来文件的属性一样CopyFileEx函数可以完成同样的功能,只不过函数可以指定一个回调函数.2.移动文件移动文件使用MoveFile或MoveFileExinvoke MoveFile,lpExistingFileName,lpNewFileNam......
Read more
Read more
1.Win32的文件函数可以操作多种对象,用GetFileType函数可以得到操作对象的类型.invoke GetFileType,hFile该函数返回值有4种FILE_TYPE_UNKNOWN 文件类型未知FILE_TYPE_DISK 磁盘文件FILE_TYPE_CHAR 字符设备FILE_TYPE_PIPE 管道2.获取文件长度使用GetFileSize函数invoke GetFileSize,hFile,lpFileSizeHighlpFileSizeHigh指向一个用来接收高32位长度的变量,一般设置为NULL,长度的低32位在函数的返回值中返回,GetFileSize返回的是当前长度3.获取......
Read more
Read more
开始查找文件,首先使用FindFirstFile函数,如果函数执行成功,返回一个句柄hFindFile来对应这个寻找操作,接下来可以利用这个句柄循环调用FindNextFile继续查找其它文件,直到FindNextFile返回失败为止.最后关闭hFindFile句柄.一般查找文件的代码结构:invoke FindFirstFile,lpFindFile,lpFindFileDate.if eax != INVALID_HANDLE_VALUE mov hFindFile,eax .repeat ;处理本次找到的文件 invoke FindNextFile,hFindFile,addr lpFindFileData .until eax==FALSE invoke Find......
Read more
Read more