雪碧透心凉_-CSDN博客

原创 Windows平台调试器原理与编写05.内存断点

第一种和第二种没有太多需要解释的地方，至于第三种的MEMORY_MAPPED_FILE_NAME_INFORMATION的定义形式需要说明一下，第三种使用方法目前资料很少，我看多资料都是直接直接传了个数组进去，然后很多人就发表评论说为什么要传那个长度呢？指的是当软件试图访问已映射在虚拟地址空间中，但是并未被加载在物理内存中的一个分页时，由中央处理器的内存管理单元所发出的中断。（导出但未形成文档），他的作用主要是查询指定进程的某个虚拟地址控件所在的内存对象的一些信息。当内存断点需要支持多个，会面临很多问题。

2025-03-09 18:02:03 715

原创 Windows平台调试器原理与编写04.硬件断点

每个线程最多只能四个硬件断点，每一个可以设3种类型，硬件断点是由 CPU 支持的硬件断点是为了解决某些情况下软件断点用不了的情况（例如软件中带有自修改，下断点处的代码被软件自身执行过程中把值改了）硬件断点有3种类型。

2025-03-04 22:15:21 551

原创 Windows平台调试器原理与编写03.单步

但是通过调试发现并不能实现,应该代码执行完 TF 已经被还原为0 了此时在入栈,它的值就是0 ,所以没办法检查判断是否为1,因此要反其道行之 ,自己置个单步, 正常情况下自己可以收到一个单步异常,但处于调试状况时就无法收到,因为被调试器收了,调试器收到之后就继续往后执行。异常被调试器收了,会继续执行下面的代码,自己异常无法收到,无法进SEH异常函数,所以无法跳过下条指令。

2025-03-03 22:56:45 619

原创 Windows平台调试器原理与编写02.一般断点与反汇编引擎

OD下断点实际是把指令的第一个字节改成了CC,当程序执行到CC的时候其实是抛了一个异常(EXCEPTION_BREAKPOINT),这个异常就会进入调试器里面因为处于调试状态,调试器拿到这个异常之后就会知道程序要断到这里,写了CC之后,这条指令正常的功能就被破坏了,但是这条指令正常功能中他还是应该执行的,那怎么让他走过去呢,那就是把这条指令恢复,下次再来只需要走过去之后再把它写回CC,这条指令执行完可通过 TF 标志位来实现, (TF置1就会抛出异常(EXCEPTION_SINGLE_STEP)),

2025-02-23 14:39:36 304

原创 Windows平台调试器原理与编写01.调试框架

调试器也是类似,调试器有各种跟调试相关的事情发生,这些事情会被封装成一个个结构体传给我们,我们只需要一直处理这样一个个的结构体的信息,这些结构体就是调试事件,调试事件 90% 都是处理异常,调试器本身就是依托于系统的异常机制实现的。当调试器调试进程时, 被调试进程处于挂起状态,当调试事件处理完之后,被调试进程是处于运行还是挂起要看我们的操作,返回结果就是告诉系统被调试进程是继续挂起还是运行。当调试器开始调试另一个进程的时候称为调试会话的建立,当调试器没有调试进程时,就叫没有调试会话。

2025-02-22 13:36:51 250

原创 Win32汇编学习笔记10.OD插件

第二次派发是一个分支,会判断是否有调试器,有的话就给调试器,没有的话直接给筛选器,因此系统会检查软件是否处于调试状态即检查调试端口是否存在,如果存在,异常就会给调试器,否则给筛选器,所以我们在用 OD 调试筛选器异常时,是不可能再筛选器这下断点的,因此系统检测到了调试器,异常就不会给筛选器。因此我们可以欺骗系统,告诉系统,不存在调试器,直接给筛选器,因此我们需要找到异常派发时,系统在哪判断是否有调试器存在的,找到后我们可以更改判断结果或者跳转的地方。

2025-02-15 22:07:53 876

原创 Win32汇编学习笔记11.游戏辅助的实现

您会发现显示的竟然是 Tutorial.exe+60C34 而不是 00460c34 这是为什么呢？其实 Tutorial.exe+60C34 就等于 00460c34一般来说游戏在电脑中申请的地址是从00400000开始的，Tutorial.exe代表的就是 00400000 然后加上 60c34 自然就等于 00460c34。但是在某些情况下游戏的起始地址并不是从00400000开始的，或者说每次启动申请的地址都不相同；

2025-01-13 21:53:10 982

原创 Win32汇编学习笔记10.OD插件

第二次派发是一个分支,会判断是否有调试器,有的话就给调试器,没有的话直接给筛选器,因此系统会检查软件是否处于调试状态即检查调试端口是否存在,如果存在,异常就会给调试器,否则给筛选器,所以我们在用 OD 调试筛选器异常时,是不可能再筛选器这下断点的,因此系统检测到了调试器,异常就不会给筛选器。因此我们可以欺骗系统,告诉系统,不存在调试器,直接给筛选器,因此我们需要找到异常派发时,系统在哪判断是否有调试器存在的,找到后我们可以更改判断结果或者跳转的地方。

2025-01-12 21:59:42 638

原创 Win32汇编学习笔记09.SEH和反调试

跟筛选一样都是用来处理异常的,但不同的是筛选器是整个进程最终处理异常的函数,但无法做到比较精细的去处理异常(例如处理某个函数的异常), 跟 C++ 的 try { } catch { } 的思路一脉相承, SHE 实现的就是函数自己来处理自己的异常,实现方式就是通过回调函数实现的,把回调函数注册给操作系统,当你函数内部出现异常时,系统就会调用你的回调函数,此时就可以处理了,处理完之后可以继续执行代码或者把异常交给筛选器。可以看到偏移为0 的位置是一个异常链表, , 记录的是一个结构体指针。

2025-01-09 21:13:01 586

原创 Win32汇编学习笔记07.筛选器异常

可以看到调用这个函数的地方思路回到打开文件对应函数上点击其中一个转到对应调用处再起上面那个push再来转到转到的是下面这个jmp，然后再看sub又是哪里跳过来的呢？转到下面所示的jg 另外一个mov ecx,dword ptr [ebp+10]是commad消息！！！我们猜测这里应该有拿资源id的操作利用vs：文件->打开->文件选择该exe情况如下点开快捷键查看32772->对应上面我们怀疑是拿资源id那个立即数的8004h，十分巧合？再去回想之前的转到那。

2025-01-08 21:36:35 1078

原创 Win32汇编学习笔记06.APIHook

api hook 称为 api 钩子,也称为内联apihook我们程序使用时,有时候需要获得程序的一些其他信息,例如,网络发包是获得包数据,打开文件时,获得文件信息等,这是,我们就可以给这些api下个钩子,当他操作时可以把它的数据抓下来,保存钩子类似起监控作用网络,文件,注册表自己实现需要进内核API Hook简介：API Hook 是通过拦截 Api 的调用，使其流程转移到我们指定的地方，同时为了保持原有程序的健壮性，需要执行完我们流程后再转移会自身的流程。

2025-01-07 22:19:09 742

原创 Win32汇编学习笔记05

定位关键点3种方法: 过程函数 api 字符串但是不确定用要哪一种方法,可以3种方法都用一下,因为在不同的程序,实用的方法是不一样的。

2025-01-05 12:14:58 449

原创 Win32汇编学习笔记04.重定位与汇编引擎

注机器码就是把机器码写到对应进程里面去,写的地方不能覆盖它原本代码,否则会影响它原本的功能 ,可以去找一些空隙,但是这种方法不是很通用.最好的办法是申请一块内存,把代码写进去,在调用线程去跑这个段代码。把字符串移进来,调试发现地址还是我们自己的地址,字符串地址需要调整,最好让他自己算.我们只要原来代码所在的地址,与新地址所在的差值,就可以推算出新字符串所在的地址。user32 在同一台电脑上的不同进程的地址是一样的，因此可以利用这一点，还要注意，我们写的代码位于代码段，必须修改才能写入。

2025-01-04 22:47:25 1115

原创 Win32汇编学习笔记03.RadAsm和补丁

可以看出它调用了默认过程函数,并没有自己处理关闭消息,所以我们只能自己来判断是不是WM_CLOSE 消息,然后我们自己来处理 ,如果是 WM_CLOSE ,那么就需要我们去弹窗,不是的话就交给过程函数去处理。因此可以分析出,程序是那我们输入的字符串做一系列运算,再把结果格式化后去跟第二个字符串作比较,我们把上面格式化后的字符串拿去测试,可以发现通过了,所以猜想是正确的。可以看到,运行到系统的 dll 中,所以这不是一个重叠类窗口,所以过程函数不是自己的,无法用上面方法,所以要换个f方法。

2025-01-03 22:51:42 1081

原创 Win32汇编学习笔记02.RadAsm和联合编译

从语法上来将,c和汇编的语法是相互不兼容的,所以想在源码上进行相互间的调用是不可能的事情, 所以只能退而求其次使用obj文件, 把 c 的 obj文件给汇编去用,把汇编的 obj 文件给 c 去用。在c,c++中写汇编代码 ,在内联汇编中,宏汇编是无法使用的,但是部分伪指令是可以用的,而且只有 32位程序可以写,64位程序是无法内联汇编的。当我们想把某个函数注入到对方进程里面,这样就要求我们的代码是纯汇编的,因为一旦用到vs的代码,vs就会加一堆检查。查看生成的obj 文件, 我们的函数的名字。

2025-01-02 23:19:40 1042

原创 Win32汇编学习笔记01.环境配置

32位扩充了 8 个通用寄存器和2个 ip 一次 flag 寄存器 , 扩充成了32位,, 低16位仍然保留原来的名字, 高16位没有名字,要访问需要自己移位 , 段寄存器没有扩充且其功能发生了改变。32位汇编调试⼀般使⽤OD或者x64dbg，前者可以到看雪下载，后者可以到官⽹下载，两者建议都下。鼠标点击有时候高亮不准是因此你改动了代码,但是软件保存了上次的调试信息,删除即可。x32dbg 调32位 x64dbg 调 64位。movsx：高位补0，低位补1。解压密码: pediy.com。

2025-01-01 22:58:43 1126

原创 8086汇编(16位汇编)学习笔记10.寄存器总结

IP 它与代码段寄存器 CS联用，永远存储着即将执行的指令的地址，每执行完一条指令，CPU都会根据CS:IP找到下一条指令，同时IP被赋值为再下一条指令的地址。如果运算结果超过当前运算位数所能表示的范围，则称为溢出，OF的值被置为1，否则，OF的值被清为0。（1）如果TF=1，则CPU处于单步执行指令的工作方式，此时每执行完一条指令，就显示CPU内各个寄存器的当前值及CPU将要执行的下一条指令。8086有一个18位的标志寄存器FR，在FR中有意义的有9位，其中6位是状态位，3位是控制位。

2024-12-30 20:50:46 1236

原创 8086汇编(16位汇编)学习笔记09.宏汇编

宏汇编在文件中是当做关键字的,但是在bug中运行时并没有这些指令,这些关键词被称为伪指令,cpu并不认识他们,需要经过编译器转化成 cpu认识的代码,但是他多我们写代码帮助又很大表达式表达式中的求值是在程序链接时完成的，所以表达式中的各值必须是在汇编或链接期就能确定，也就是说不能将寄存器或者变量运⽤于表达式。算术表达式逻辑运算符逻辑运算即位运算，逻辑运算符与对应的指令助记符单词是相同的，当它们出现在操作码部分时是指令，出现在操作数时是逻辑运算符关系运算符。

2024-12-29 13:26:26 1251

原创 8086汇编(16位汇编)学习笔记08.函数

当我们调用函数时,函数如果使用了我们之前保存数据的寄存器,那么函数是用之后,我们保存的数据将会丢失,因此函数在使用寄存器之前,需要先保存寄存器数据,使用之后再恢复,但是调用者并不知道函数用到了哪些寄存器,因此这件事需要函数内部来实现,但是函数自己保存寄存器环境好之后有一个问题,就是参数取值问题,解决方法是 bp,sp分离,这样每次我们跳转前都需要将返回地址入栈 , 再进行跳转, .函数返回时需要先将地址出栈 ,再跳转.比较麻烦,因此汇编提供了相同功能的指令 call。

2024-12-28 18:02:02 889

原创 8086汇编(16位汇编)学习笔记06.串操作、流程转移指令

从表格中我们不难分析出来 EB 代表 jmp 指令 ,其机器码中并没有直接存储目标地址的 ip信息 ,也不是直接存储偏移,而是地址偏移值 - 2 , 即下一条指令到目标地址的偏移,那为什么不存储本条指令地址和目的地址的偏移,而要存下一条的呢,因为当一条指令执行完,IP地址就指向了下一条指令的ip地址,如果要储存自己和目标指令的偏移,需要先 - 2 ,把ip地址改回当前自己的,再去算偏移,所以就直接存储下条指令的 ip 地址和目标地址的偏移。上面是考虑的是从上往下跳,如果从下往上跳呢。

2024-12-27 21:14:39 1303

原创 8086汇编(16位汇编)学习笔记05.asm基础语法和串操作

每一个文件以end作结尾,每个文件至少有一个段,程序的入口点用标号 ,标号名放在end后面.多个文件只能有一个标号放在end后面,一个段里面可以定义变量,可以写代码,但是一般我们会把,代码,数据,栈分开,放在不同段里面。

2024-12-26 22:03:47 1196

原创 8086汇编(16位汇编)学习笔记04.乘除和移位指令

SAL：把目的操作数的低位向高位移，空出的低位补0,移出来的最后一位进 CF；SAR：把目的操作数的高位向低位移，空出的高位用最高位(符号位)填补,移出来的最后一位进 CF。可用于有符号位除法(除 2 的 n次幂)

2024-12-25 22:25:03 1150

原创 8086汇编(16位汇编)学习笔记03.汇编指令

7 已知SI=1200H,DS:[1205H]=1234H,试说明指令MOV BX,5[SI]和LEA BX,5[SI]的区别,执行后BX的内容分别是多少?MOV BX,5[SI] 是将 DS最为段基址 , si+ 5 = 1025 作为段偏移处的值 1234 给 BX ,此时 BX 值是 1234。将值改成 FF 即 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 可以看出,所有标志位都变成了1。mem←mem＋imm/reg //把结果存入内存,内存不可以与内存相加。

2024-12-24 19:41:52 1114

原创 8086汇编(16位汇编)学习笔记02.分段,机器码和寻址

原文链接：8086汇编(16位汇编)学习笔记02.分段,机器码和寻址-C/C++基础-断点社区-专业的老牌游戏安全技术交流社区 - BpSend.net[md]### 分段 - 问题1 8086是16位cpu，最多可以访问（寻址）多大内存？- 运算器一次最多处理16位的数据。- 地址寄存器的最大宽度为16位。- 访问的最大内 ...,C/C++基础,断点社区-专业的老牌游戏安全技术交流社区。

2024-12-23 20:23:37 954

原创 8086汇编(16位汇编)学习笔记01.汇编基础和debug使用

● 一个系统不可能由一个硬件单独完成，所以划分处多个硬件模块，然后由一个模块居中调度。称作CPU。.标志位标志名称FLASETUREOF溢出标志NVOVDF方向标志UPDNIF中断标志DIEISF符号标志PLNGZF零标志NZZRAF辅助进位标志NAACPF奇偶标志POPECF进位标志NCCY在 debug中顺序OF[溢出 ] DF[方向] IF[中断] SF[符号] ZF[零] AF[辅助进位] PF[奇偶] CF[进位]

2024-12-22 22:20:31 1068

原创 8086汇编(16位汇编)学习笔记00.DEBUG命令使用解析及范例大全

8086汇编(16位汇编)学习笔记00.DEBUG命令使用解析及范例大全-C/C++基础-断点社区-专业的老牌游戏安全技术交流社区 - BpSend.net[md]启动 Debug，它是可用于测试和调试 MS-DOS 可执行文件的程序。Debug [[drive:][path] filename [parameters]]　　参数　　[drive:][path] filename　　指 ...,汇编,学习笔记,8086,16位汇编,C/C++基础,断点社区-专业的老牌游戏安全技术交流社区。

2024-12-21 23:34:05 1040

原创编译自己的过保护CE02.dbk驱动编译

不出意外的话，你等待一会就能看到 chmod 777 vmdisk.img了，然后这个文件夹里面也多出了一个vmdisk.img文件，我们把这个文件也复制到CE的bin目录中，然。在编译CE驱动之前，首先要修改一下CE源码中关于驱动服务名、调用的驱动名，因为默认的服务名和驱动文件名是被游戏厂商给和谐掉的，我们打开CE源码。以上步骤做完以后，即可正常编译，如果报错的话不是你SDK有问题就是你的WDK有问题，你可以建立一个空的驱动项目编译试试。显示签名成功即可，然后把我们的驱动文件复制到ce的bin目录下。

2024-12-08 13:28:48 1154 2

原创如何学习游戏外挂编程

了解游戏引擎是如何工作的，熟悉游戏数据的存储方式，以及游戏的逻辑和规则。请在合法和道德的范围内使用API。寻找漏洞或弱点：通过分析游戏的代码和逻辑，寻找游戏中的漏洞或弱点，比如未进行输入验证、未进行足够的数据保护等。避免检测与封锁：为了防止游戏的反作弊机制检测到外挂，需要进行相应的避免检测和封锁的处理，比如加密、隐藏等。研究游戏进程：通过调试工具、内存修改工具等研究游戏的进程和内存空间，了解游戏中的数据结构和变量。了解游戏：首先，需要对目标游戏有足够的了解，包括游戏的运行方式、数据结构、逻辑和规则等。

2024-12-05 22:40:33 873

转载易语言如何修改自己编写软件的图标

需要注意的是，图标一定要是ICO文件~如果不是的话会失败的，网上有工具可以直接把png jpg等转成ico。创建了以后我们可以发现不管是直接运行还是静态编译生成的都是E语言默认的图标。.程序集窗口程序集_1, 程序集_1.main, 窗口_1。信息框 (“这是新图标的提示”, 0, “提示”)创建图像 (图标, 图片, “icon.ico”).程序集变量图标, 图片, "icon.ico"窗口_1.标题＝ “更改程序图标示例”.子程序 _窗口程序集_1_被创建。窗口_1.图标＝图标。

2024-12-03 21:40:47 604

原创 python人工智能算法

深度学习算法：深度学习是机器学习的一种特殊形式，通过构建多层神经网络模型，模拟人脑的神经元网络结构，实现对大规模数据的学习和分析。中的一个来进行决策，然后与用户进行对比，根据游戏规则判断输赢或平局。进化算法：进化算法模仿生物进化过程，通过多个个体之间的竞争、选择和交叉等操作，逐步优化产生更优解。这些算法在不同的应用领域中起到了重要的作用，如图像识别、语音识别、自然语言处理、推荐系统等。常见的自然语言处理算法包括词袋模型、tf-idf算法、词嵌入模型等。人工智能算法指的是用于实现人工智能的数学和逻辑算法。

2024-11-05 21:11:34 580

原创 python人工智能编程前景

强大的生态系统和库支持：Python拥有丰富的开源库和框架，如TensorFlow, PyTorch, Keras, Scikit-learn等，这些库提供了许多人工智能领域的算法和工具，能够大大加速开发过程。它的简单易学性、强大的生态系统和库支持、高效的数据处理和科学计算能力以及广泛的应用和社区支持，使得Python成为人工智能开发的首选语言之一。机器学习和数据分析：人工智能在数据分析和机器学习方面有广泛的应用，可以通过分析大量的数据来发现模式和趋势，并进行预测和决策。

2024-11-05 21:09:26 919

原创如何使用python编写人工智能程序

这里定义了一个名为DepthwiseSeparableConv的深度可分离卷积模块，它由一个深度卷积层和一个逐点卷积层组成。以上是一般的步骤，但具体的实现取决于你要解决的问题和选择的工具。例如，如果输入是一个3通道的图像，深度卷积就是对每个通道进行独立的卷积操作。深度可分离卷积是一种卷积神经网络中常用的操作，它可以有效减少参数数量，减少计算量，并且在一定程度上提高模型的性能。需要注意的是，上述代码仅为示例，实际的深度可分离卷积网络结构通常更加复杂，包含更多的卷积层、池化层、全连接层等。

2024-11-04 21:51:35 578

原创《Python修炼秘籍》03.循环、字符串

for循环我有个特点，就是不喜欢做重复的事情，而工作中那些重复的事情又不得不做，我想大多数人包括同学们，都会和老师有同样的感受，反复地做同样的事情很枯燥甚至让人心情烦躁。面对这个问题，老师接触学习了编程之后，发现计算机非常擅长去做重复繁琐的事情，既然如此，为什么不让计算机来为我们完成这些重复的事情呢？接下来带大家学习如何让计算机去完成那些重复的事情。

2024-11-03 10:21:05 1021

原创《Python修炼秘籍》02数值类型、分支语句

没错，从小学我们就学到了运算符优先级的精髓，在编程中也是这么继承下来的。的数值类型，有了数据，我们就可以通过运算符把它们连接起来，形成表达式，进而通过表达式进行运算，最后得到一个结果，同学们有没有发现这和小学学过的数学运算非常的相似，没错，原理是一样的。包括十进制整数、八进制整数、十六进制整数和二进制整数，简单说就是一个整数有不同的表示方式，我们习惯性的使用十进制的整数，而在计算机中所有的数据都是用二进制（的整型类的长度不受限制，具体能到多大，就看同学们电脑的配置了，因为最大只受所在计算机硬件的限制。

2024-11-02 11:56:24 768

原创《Python修炼秘籍》01踏上编程之旅

中的关键字是已经被赋予特定意义的一些单词，在开发程序时，不可以把这些关键字作为变量、函数、类、模块和其他对象的名称来使用。世界里，对待代码的缩进要十分小心，如果没有正确地使用缩进，代码所做的事情可能和我们的期望相差甚远，还有一点需要注意的是：缩进不要混用。中，标识符中的字母是严格区分大小写的，两个同样的单词，如果大小写的格式不一样，所代表的意义是完全不同的。对初级程序员而言，简单亲和，具有良好的上手能力，而且。对变量的命名要符合标识符规范，首选有意义的单词作为变量名，即见名知意，作为一名有趣的程。

2024-11-02 11:39:55 794

原创游戏外挂、游戏辅助开发教程合集

打开「夸克APP」，无需下载在线播放视频，畅享原画5倍速，支持电视投屏。打开「夸克APP」，无需下载在线播放视频，畅享原画5倍速，支持电视投屏。我用夸克网盘分享了「火哥windows内核六期」，点击链接即可保存。打开「夸克APP」，无需下载在线播放视频，畅享原画5倍速，支持电视投屏。打开「夸克APP」，无需下载在线播放视频，畅享原画5倍速，支持电视投屏。打开「夸克APP」，无需下载在线播放视频，畅享原画5倍速，支持电视投屏。链接：https://pan.quark.cn/s/ab8a07207116。

2024-11-01 00:03:03 887

2025最新英特尔手册完整中文版

火哥6期windows内核学习笔记

过绝大部分游戏保护的CE

科锐16位汇编学习笔记-反汇编引擎

科锐16位汇编学习笔记-寄存器汇总

科锐16位汇编学习笔记-汇编指令总结

科锐16位汇编学习笔记-寄存器

ManualMapInjection：手动映射注入，用于将DLL文件注入到进程中

逆向工程入门教程

C++钩子模仿按键精灵屏幕录制

Qt局域网聊天软件

VC多行注释工具

C语言写windows窗体

Com操作Excel 弹出被呼叫方拒绝呼叫