请教NT下一个类似98hmemcpy的断点POINT H的问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
love8909 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 0 关注私信	love8909 2 楼为什么没有人回复呢？ 2004-9-9 22:13 0
lzqgj 雪币： 280 活跃值： (281) 能力值： ( LV9，RANK：250 ) 在线值：发帖 38 回帖 312 粉丝 1 关注私信	lzqgj 6 3 楼在user32.dll中搜索几个十六进制字符，下断即可。具体哪几个，不记得了。看文章。 2004-9-10 08:09 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 4 楼 It searches USER32.DLL for the following byte-pattern: 8B C1 C1 E9 02 F3 A5 8B C8 83 E1 03 F3 A4 E8 Once it is found, it returns you the address of the location it was found + 5.. i.e: before the memory copying. This pattern should occur in the first 0x3FFFF bytes of USER32. Example: Code: 77D46706 mov eax, ecx 77D46708 shr ecx, 2 77D4670B repe movsd ; <-- break on this instruction 77D4670D mov ecx, eax 77D4670F and ecx, 3 77D46712 repe movsb 77D46714 call sub_77D46722 I haven't researched this for long, but this piece of code appears to be where memory is copied from the gui-item to the user-supplied buffer. Tracing up a little brings up a bunch of references to SendMessage & GetWindowXXXX stuff... which would make sense. nice job, to whoever found this. 2004-9-10 12:54 0
love8909 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 0 关注私信	love8909 5 楼搜索了，但是搜索不到啊 2004-9-10 14:32 0
heng9ml 雪币： 212 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 203 粉丝 0 关注私信	heng9ml 1 6 楼 10fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5k6h3y4G2L8g2)9J5c8Y4k6A6k6i4N6@1K9s2u0W2j5h3c8Q4x3X3g2H3K9s2m8Q4x3@1k6@1K9h3c8Q4x3@1b7%4y4e0j5J5 2004-9-10 18:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
love8909 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 0 关注私信	love8909 2 楼为什么没有人回复呢？ 2004-9-9 22:13 0
lzqgj 雪币： 280 活跃值： (281) 能力值： ( LV9，RANK：250 ) 在线值：发帖 38 回帖 312 粉丝 1 关注私信	lzqgj 6 3 楼在user32.dll中搜索几个十六进制字符，下断即可。具体哪几个，不记得了。看文章。 2004-9-10 08:09 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 4 楼 It searches USER32.DLL for the following byte-pattern: 8B C1 C1 E9 02 F3 A5 8B C8 83 E1 03 F3 A4 E8 Once it is found, it returns you the address of the location it was found + 5.. i.e: before the memory copying. This pattern should occur in the first 0x3FFFF bytes of USER32. Example: Code: 77D46706 mov eax, ecx 77D46708 shr ecx, 2 77D4670B repe movsd ; <-- break on this instruction 77D4670D mov ecx, eax 77D4670F and ecx, 3 77D46712 repe movsb 77D46714 call sub_77D46722 I haven't researched this for long, but this piece of code appears to be where memory is copied from the gui-item to the user-supplied buffer. Tracing up a little brings up a bunch of references to SendMessage & GetWindowXXXX stuff... which would make sense. nice job, to whoever found this. 2004-9-10 12:54 0
love8909 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 0 关注私信	love8909 5 楼搜索了，但是搜索不到啊 2004-9-10 14:32 0
heng9ml 雪币： 212 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 203 粉丝 0 关注私信	heng9ml 1 6 楼 10fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5k6h3y4G2L8g2)9J5c8Y4k6A6k6i4N6@1K9s2u0W2j5h3c8Q4x3X3g2H3K9s2m8Q4x3@1k6@1K9h3c8Q4x3@1b7%4y4e0j5J5 2004-9-10 18:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复