今天逆向,遇到这些函数,大概搜查了些资料,大概如下。
1、PostMessage
函数原型:B00L PostMessage(HWND hWnd,UINT Msg,WPARAM wParam,LPARAM lParam);
这个函数大概将一个消息放入(寄送)到与指定窗口创建的线程相联系消息队列里,不等待线程处理消息就返回,是异步消息模式。消息队列里的消息通过调用GetMessage和PeekMessage取得。
因此暂时理解为一个异步的投送消息函数。
2、RtlFreeHeap
由函数名大概可以看出这是个释放堆内存函数,查阅到资料是接收一个PVOID类型参数即可。至于释放大小,由内存的管理头获取到。(NT内核中,每次内存分配的时候比实际内存要多点,多出来的就是该内存的管理头。free函数也是从这个管理头里面读出内存大小的。RtlFreeHeap函数接收到用户内存的地址后,做的第一件事情就是将地址往前移8字节,指到内存块的管理头BusyBlock。然后检查内存的完整性,比如有没有溢出之类,具体是检查BusyBlock地址的末3位,因为堆申请是以8字节为单位的,所以末3位一定都是0,否则就是被破坏了,需要理解抛异常通知进程。实际的溢出检测比这个复杂多,暂时还不懂。)
3、PeekMessage
GetMessage 不将控制返回给程序,直到从程序的消息队列中获取消息,但是 PeekMessage 总是立刻返回,而不论一个消息是否出现。当(应用程序的)消息队列中有一个消息时,PeekMessage 的返回值为 TRUE(非0),并且将按通常方式处理消息。当队列中没有消息时,PeekMessage 返回 FALSE(0)。
所以暂时理解为异步的接收消息函数。
4、GetTickCount
这个函数比较简单,返回开机以来的毫秒数,DWORD类型。可用来Anti-debug。
1332
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
