格物致知

Delphi：Delphi通过向Edit发送WM_GETTEXT消息获得Text内容，不调用任何Win32API利用DeDe反编译得到按钮的事件地址，对地址进行设断十六进制编辑器搜索Button1Click，前面一个字节为长度，再前面为事件地址Visual Basic：__vbaStrCmp比较字符串、__vbaVarTstEq比较变量、rtcMsgBox显示对话框、VarBs

方法一、安装钩子：1、运行A.exe，A.exe中调用SetWindowsHookEx（或将Set放入my.dll的导出函数中，此处调用该导出函数）进行钩子安装；2、运行B.exe，当向B.exe发送相应消息时，钩子勾取消息，并调用钩子过程（位于my.dll文件中），调用钩子过程时系统便会强制将dll注入到B.exe中。方法二、远程线程：1、运行A.exe，直接调用CreateRe

1、字串参考：注册失败提示的字串；             2、函数参考：GetDlgItemText、GetWindowText，找到后设置条件断点 F9运行至断点处按Alt+F9回到程序领空，上面的语句即为Call函数；3、内存访问断点、写入断点； 4、消息断点及 RUN 跟踪（不是非常明白）；5、得到密码之前的多次循环可能为16进制转换为1

1、堆栈原理寻找OEP进行脱壳，第一次esp改变，数据窗口跟随，下硬件访问端点，F9断下地方多为jmp eax，eax即为OEP；2、MEW之类的压缩壳，F8运行jmp XXXX，向下寻找ret下断点，F8运行至push ebp，即为OEP；3、Alt+M，对代码段（401000）下断点；4、FSG压缩壳，xchg典型入口点；5、FSG压缩壳，单步F

1、Intel体系芯片采用Little-Endian（逆序）编码方式，某些RISC架构CPU，如IBM的Power-PC采用Big-Endian（正序）编码方式；2、ASCII是7位编码标准，第7位为0。ANSI（8位）是对ASCII的扩充，是系统预设的标准文字存储格式。Unicode（Widechars，16位）是对ASCII的扩展，原ASCII码高位扩充为0；3、Windows 9x几

Microsoft Visual C++ 6.000496EB8 >/$ 55 PUSH EBP ; (初始 cpu 选择)00496EB9 |. 8BEC MOV EBP,ESP00496EBB |. 6A FF PUSH -100496EBD |. 68 40375600 PUSH Screensh.0056374000496EC2 |. 6

1、Alt+M打开内存窗口；2、Ctrl+B搜索"FC   DB   E3"并下访问断点；3、F9运行至断点处使用“中文搜索”插件进行字符串搜索。

1、获取字符串长度：xor eax,  eax ;eax = 0，C中字符串以/0结尾or ecx,  FFFFFFFF;ecx = -1，ecx一会儿存放字符串长度repne   scas byte ptr es:[edi];依次查询es : [edi]字符串中的每一个字符，直到找到al的值为止not  ecx ;将ecx转换为正数dec  ecx ;减去

一、序列号保护二、Nag窗口1、Nag窗口以资源形式存在：eXeScope查看Nag窗口ID，转换成十六进制，W32Dasm查看对话框参考，跳转至Nag窗口相关代码2、不以资源形式存在：尝试拦截消息断点WM_DESTROY（有待尝试）三、时间限制IDA查看输入函数：SetTimer、timeSetEvent、GetTickCount、timeGetTimeSetTimer每