TA的每日心情 | 衰
12 小时前 |
|---|
签到天数: 453 天 [LV.9]以坛为家II
管理员|UID:1
|
一、数据传输指令
───────────────────────────────────────
它们在存贮器和寄存器、寄存器和输入输出端口之间传送数据.
1. 通用数据传送指令.
MOV 传送字或字节.
MOVSX 先符号扩展,再传送.
MOVZX 先零扩展,再传送.
PUSH 把字压入堆栈.
POP 把字弹出堆栈.
PUSHA 把AX,CX,DX,BX,SP,BP,SI,DI依次压入堆栈.
POPA 把DI,SI,BP,SP,BX,DX,CX,AX依次弹出堆栈.
PUSHAD 把EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI依次压入堆栈.
POPAD 把EDI,ESI,EBP,ESP,EBX,EDX,ECX,EAX依次弹出堆栈.
BSWAP 交换32位寄存器里字节的顺序
XCHG 交换字或字节.( 至少有一个操作数为寄存器,段寄存器不可作为操作数)
CMPXCHG 比较并交换操作数.( 第二个操作数必须为累加器AL/AX/EAX )
XADD 先交换再累加.( 结果在第一个操作数里 )
XLAT 字节查表转换.
── BX 指向一张 256 字节的表的起点, AL 为表的索引值 (0-255,即
0-FFH); 返回 AL 为查表结果. ( [BX+AL]->AL )
2. 输入输出端口传送指令.
IN I/O端口输入. ( 语法: IN 累加器, {端口号│DX} )
OUT I/O端口输出. ( 语法: OUT {端口号│DX},累加器 )
输入输出端口由立即方式指定时, 其范围是 0-255; 由寄存器 DX 指定时,
其范围是 0-65535.
3. 目的地址传送指令.
LEA 装入有效地址.
例: LEA DX,string ;把偏移地址存到DX.
LDS 传送目标指针,把指针内容装入DS.
例: LDS SI,string ;把段地址:偏移地址存到DS:SI.
LES 传送目标指针,把指针内容装入ES.
例: LES DI,string ;把段地址:偏移地址存到ES I.
LFS 传送目标指针,把指针内容装入FS.
例: LFS DI,string ;把段地址:偏移地址存到FSI.
LGS 传送目标指针,把指针内容装入GS.
例: LGS DI,string ;把段地址:偏移地址存到GSI.
LSS 传送目标指针,把指针内容装入SS.
例: LSS DI,string ;把段地址:偏移地址存到SSI.
4. 标志传送指令.
LAHF 标志寄存器传送,把标志装入AH.
SAHF 标志寄存器传送,把AH内容装入标志寄存器.
PUSHF 标志入栈.
POPF 标志出栈.
PUSHD 32位标志入栈.
POPD 32位标志出栈.
二、算术运算指令
───────────────────────────────────────
ADD 加法.
ADC 带进位加法.
INC 加 1.
AAA 加法的ASCII码调整.
DAA 加法的十进制调整.
SUB 减法.
SBB 带借位减法.
DEC 减 1.
NEC 求反(以 0 减之).
CMP 比较.(两操作数作减法,仅修改标志位,不回送结果).
AAS 减法的ASCII码调整.
DAS 减法的十进制调整.
MUL 无符号乘法.
IMUL 整数乘法.
以上两条,结果回送AH和AL(字节运算),或DX和AX(字运算),
AAM 乘法的ASCII码调整.
DIV 无符号除法.
IDIV 整数除法.
以上两条,结果回送:
商回送AL,余数回送AH, (字节运算);
或 商回送AX,余数回送DX, (字运算).
AAD 除法的ASCII码调整.
CBW 字节转换为字. (把AL中字节的符号扩展到AH中去)
CWD 字转换为双字. (把AX中的字的符号扩展到DX中去)
CWDE 字转换为双字. (把AX中的字符号扩展到EAX中去)
CDQ 双字扩展. (把EAX中的字的符号扩展到EDX中去)
三、逻辑运算指令
───────────────────────────────────────
AND 与运算.
OR 或运算.
XOR 异或运算.
NOT 取反.
TEST 测试.(两操作数作与运算,仅修改标志位,不回送结果).
SHL 逻辑左移.
SAL 算术左移.(=SHL)
SHR 逻辑右移.
SAR 算术右移.(=SHR)
ROL 循环左移.
ROR 循环右移.
RCL 通过进位的循环左移.
RCR 通过进位的循环右移.
以上八种移位指令,其移位次数可达255次.
移位一次时, 可直接用操作码. 如 SHL AX,1.
移位>1次时, 则由寄存器CL给出移位次数.
如 MOV CL,04
SHL AX,CL
四、串指令
───────────────────────────────────────
DS:SI 源串段寄存器 :源串变址.
ESI 目标串段寄存器:目标串变址.
CX 重复次数计数器.
AL/AX 扫描值.
D标志 0表示重复操作中SI和DI应自动增量; 1表示应自动减量.
Z标志 用来控制扫描或比较操作的结束.
MOVS 串传送.
( MOVSB 传送字符. MOVSW 传送字. MOVSD 传送双字. )
CMPS 串比较.
( CMPSB 比较字符. CMPSW 比较字. )
SCAS 串扫描.
把AL或AX的内容与目标串作比较,比较结果反映在标志位.
LODS 装入串.
把源串中的元素(字或字节)逐一装入AL或AX中.
( LODSB 传送字符. LODSW 传送字. LODSD 传送双字. )
STOS 保存串.
是LODS的逆过程.
REP 当CX/ECX<>0时重复.
REPE/REPZ 当ZF=1或比较结果相等,且CX/ECX<>0时重复.
REPNE/REPNZ 当ZF=0或比较结果不相等,且CX/ECX<>0时重复.
REPC 当CF=1且CX/ECX<>0时重复.
REPNC 当CF=0且CX/ECX<>0时重复.
五、程序转移指令
───────────────────────────────────────
1>无条件转移指令 (长转移)
JMP 无条件转移指令
CALL 过程调用
RET/RETF过程返回.
2>条件转移指令 (短转移,-128到+127的距离内)
( 当且仅当(SF XOR OF)=1时,OP1<OP2 )
JA/JNBE 不小于或不等于时转移.
JAE/JNB 大于或等于转移.
JB/JNAE 小于转移.
JBE/JNA 小于或等于转移.
以上四条,测试无符号整数运算的结果(标志C和Z).
JG/JNLE 大于转移.
JGE/JNL 大于或等于转移.
JL/JNGE 小于转移.
JLE/JNG 小于或等于转移.
以上四条,测试带符号整数运算的结果(标志S,O和Z).
JE/JZ 等于转移.
JNE/JNZ 不等于时转移.
JC 有进位时转移.
JNC 无进位时转移.
JNO 不溢出时转移.
JNP/JPO 奇偶性为奇数时转移.
JNS 符号位为 "0" 时转移.
JO 溢出转移.
JP/JPE 奇偶性为偶数时转移.
JS 符号位为 "1" 时转移.
3>循环控制指令(短转移)
LOOP CX不为零时循环.
LOOPE/LOOPZ CX不为零且标志Z=1时循环.
LOOPNE/LOOPNZ CX不为零且标志Z=0时循环.
JCXZ CX为零时转移.
JECXZ ECX为零时转移.
4>中断指令
INT 中断指令
INTO 溢出中断
IRET 中断返回
5>处理器控制指令
HLT 处理器暂停, 直到出现中断或复位信号才继续.
WAIT 当芯片引线TEST为高电平时使CPU进入等待状态.
ESC 转换到外处理器.
LOCK 封锁总线.
NOP 空操作.
STC 置进位标志位.
CLC 清进位标志位.
CMC 进位标志取反.
STD 置方向标志位.
CLD 清方向标志位.
STI 置中断允许位.
CLI 清中断允许位.
六、伪指令
───────────────────────────────────────
DW 定义字(2字节).
PROC 定义过程.
ENDP 过程结束.
SEGMENT 定义段.
ASSUME 建立段寄存器寻址.
ENDS 段结束.
END 程序结束.
拦截窗口:
bp CreateWindow 创建窗口
bp CreateWindowEx(A) 创建窗口
bp ShowWindow 显示窗口
bp UpdateWindow 更新窗口
bp GetWindowText(A) 获取窗口文本
拦截消息框:
bp MessageBox(A) 创建消息框
bp MessageBoxExA 创建消息框
bp MessageBoxIndirect(A) 创建定制消息框
拦截警告声:
bp MessageBeep 发出系统警告声(如果没有声卡就直接驱动系统喇叭发声)
拦截对话框:
bp DialogBox 创建模态对话框
bp DialogBoxParam(A) 创建模态对话框
bp DialogBoxIndirect 创建模态对话框
bp DialogBoxIndirectParam(A) 创建模态对话框
bp CreateDialog 创建非模态对话框
bp CreateDialogParam(A) 创建非模态对话框
bp CreateDialogIndirect 创建非模态对话框
bp CreateDialogIndirectParam(A) 创建非模态对话框
bp GetDlgItemText(A) 获取对话框文本
bp GetDlgItemInt 获取对话框整数值
拦截剪贴板:
bp GetClipboardData 获取剪贴板数据
拦截注册表:
bp RegOpenKey(A) 打开子健
bp RegOpenKeyEx 打开子健
bp RegQueryValue(A) 查找子健
bp RegQueryValueEx 查找子健
bp RegSetValue(A) 设置子健
bp RegSetValueEx(A) 设置子健
功能限制拦截断点:
bp EnableMenuItem 禁止或允许菜单项
bp EnableWindow 禁止或允许窗口
拦截时间:
bp GetLocalTime 获取本地时间
bp GetSystemTime 获取系统时间
bp GetFileTime 获取文件时间
bp GetTickCount 获得自系统成功启动以来所经历的毫秒数
bp GetCurrentTime 获取当前时间(16位)
bp SetTimer 创建定时器
bp TimerProc 定时器超时回调函数
拦截文件:
bp CreateFileA 创建或打开文件 (32位)
bp OpenFile 打开文件 (32位)
bp ReadFile 读文件 (32位)
bp WriteFile 写文件 (32位)
bp GetPrivateProfileStringA (ini文件)
拦截驱动器:
bp GetDriveTypeA 获取磁盘驱动器类型
bp GetLogicalDrives 获取逻辑驱动器符号
bp GetLogicalDriveStringsA 获取当前所有逻辑驱动器的根驱动器路径
★★VB程序专用断点★★
bp __vbaStrCmp 比较字符串是否相等
bp __vbaStrComp 比较字符串是否相等
bp __vbaVarTstNe 比较变量是否不相等
bp __vbaVarTstEq 比较变量是否相等
bp __vbaStrCopy 复制字符串
bp __vbaStrMove 移动字符串
bp MultiByteToWideChar ANSI字符串转换成Unicode字符串
bp WideCharToMultiByte Unicode字符串转换成ANSI字符串
解自校验
bpx CreateFileA
bpx GetFileSize
bpx SetFilePointer
bpx ExitProcess
F12堆栈调用
逆向分析思路
C类
Point-H法
bp GetDlgItem(断输入框)
bp MessageBoxA(断对话框)
字符串法
F12堆栈调用
B、D类
DEDE、PE Explorer作为强有力的FZ工具
关键还是找按妞事件
Point-H法
bp GetDlgItem(断输入框)
bp MessageBoxA(断对话框)
字符串法
F12堆栈调用
V类
VBExplorer、GetVBRes、SmatCheck作为强有力的FZ工具
关键还是找按妞事件
bp rtcMsgBox(断对话框)
*********************************
如果是重启验证就使用最开始的那些断点
C类语言逆向
1、bp MessageBoxA(W)(断对话框)—Ctrl+N
2、Point-H法
3、bp GetDlgItem/GetWindowTextA(W)/GetWindowTextLengthA(W) (断输入框)
4、字符串法—插件/搜索所有参考文本
Delphi/BC++语言逆向
1、DEDE结合PE Explorer找按妞事件
2、Point-H法
3、bp GetDlgItem/GetWindowTextA(W)/GetWindowTextLengthA(W) (断输入框)
4、bp MessageBoxA(W)(断对话框)—Ctrl+N
5、字符串法—插件/搜索所有参考文本
6、如果程序界面标题有[未注册/注册/VIP版/标准版/钻石版] 之类字样,可以通过DEDE查找FormCreate/FormShow,找到
关键标志位
VB语言逆向
1、VBExplorer查找按钮事件
2、有提示框则 bp rtcMsgBox(断对话框)
3、通过bp __vbaStrCmp/__vbaStrComp/__vbaVarTstEq
4、万能断点法(816C24法)
5、字符串法—插件/搜索所有参考文本
易语言逆向
1、借助E-Code Explorer查找按钮事件
2、下消息断点,查看堆栈再返回
3、eCode法–断按钮事件
4、字符串法—插件/搜索所有参考文本
按钮事件固定模式:
***********************************************************************************************************
*******************************
按钮事件
1、有注册错误/正确提示
bp MessageBoxA
bp rtcMsgBox
如果事先找不到按钮事件,可以通过下消息断点,返回后回溯即可找到按钮事件起始位置
2、无任何提示
bp GetDlgItem
可以通过bp GetDlgItem获取按钮事件代码
3、未注册一启动或者关闭就跳出个注册框或者提示框
bp RegOpenKey(A)
bp CreateFileA
bp GetPrivateProfileStringA
文件: reg/ini/dll/其他
至于保存到什么文件,可以使用以下方法
1、查找字符串,看是否有可疑文件名或者注册表键名
2、猜。。。下断点观察
3、按钮事件跟踪
4、未注册一启动或者关闭就打开网页链接
bp ShellExecuteA
类似的组合
Cmp/test/其他判断
Je/jne/jne/jz XXXXXXXX
软件启动—>判断是否注册—>是否Open
断下后回溯代码即可找到关键点,常用的方法,转存跟踪法
5、未注册就功能使用限制
判断是否注册—>某种功能是否让你使用,如果不能够用,一定会有提示的,或是错误提示或是弹出注册框等,那么从提示
入手即可找到解除限制的关键
不完美逆向:解除功能限制
6、未注册就日期限制
bp GetLocalTime 获取本地时间
bp GetSystemTime 获取系统时间
bp GetFileTime 获取文件时间
一般下这几个断点比较难分析关键
捷径:查找字符串–找可疑文件–一般以DLL多见
只要不让它读取到这个DLL即可解除限制
7、Demo(演示试用版)–功能残缺
这个和上面的功能限制不一样
功能限制是软件本身就有这个功能,对程序而言,相对应的功能代码也存在
Demo即是没这个功能,空架子一个而已
一句话:逆向也无用!
8、网络验证
无法登陆有错误提示者:下消息断点回溯代码,找按钮事件,从头来过,从按钮事件开始跟踪,找网络验证CALL(所需要登
陆的地址在这个CALL里面),接下来就是分析返回值或者改登陆地址为本地(127.0.0.1),再后面就需要改某些跳转了
无法登陆自动退出者:下bp ExitProcess断下(一般可以断下)回溯代码,找按钮事件,从来来过,从按钮事件开始跟踪,
找网络验证CALL(所需要登陆的地址在这个CALL里面),接下来就是分析返回值或者改登陆地址为本地(127.0.0.1),再后面
就需要改某些跳转了
9、狗加密
一般狗加密软件,一启动就会检测所需要的狗文件,若没有狗文件,提示错误
这里我们有两个入手点
1、“一启动就会检测所需要的狗文件”,下bp CreateFileA等断点,断下后,回溯
2、“若没有狗文件,提示错误”,下bp MessageBoxA,断下后,回溯
总结:
从上面的介绍说明可以看出,有这么一个共同点—按钮事件,可以这么说,按钮事件是我们的思路之门
按钮事件可以这样得来:
1、通过下相应断点,回溯代码
2、通过FZ工具快捷的得到(VBExplorer、DEDE)
***********************************************************************************************************
[C] [color=rgb(51, 102, 153) !important]纯文本查看 [color=rgb(51, 102, 153) !important]复制代码
0040EC78 837D F4 00 cmp dword ptr ss:[ebp-C],0 ;关键判断
0040EC7C 0F84 3B000000 je dcse.0040ECBD ;关键跳
0040EC82 68 04000080 push 80000004
0040EC87 6A 00 push 0
0040EC89 68 EC904000 push dcse.004090EC
0040EC8E 68 01030080 push 80000301
0040EC93 6A 00 push 0
00 40EC95 68 00000000 push 0
0040EC9A 68 04000080 push 80000004
0040EC9F 6A 00 push 0
0040ECA1 68 F1904000 push dcse.004090F1
0040ECA6 68 03000000 push 3
0040ECAB BB 00030000 mov ebx,300
0040ECB0 E8 92000000 call dcse.0040ED47
0040ECB5 83C4 28 add esp,28
0040ECB8 E9 36000000 jmp dcse.0040ECF3
0040ECBD 68 04000080 push 80000004
0040ECC2 6A 00 push 0
0040ECC4 68 CC904000 push dcse.004090CC
0040ECC9 68 01030080 push 80000301
0040ECCE 6A 00 push 0
0040ECD0 68 00000000 push 0
0040ECD5 68 04000080 push 80000004
0040ECDA 6A 00 push 0
0040ECDC 68 02914000 push dcse.00409102
0040ECE1 68 03000000 push 3
0040ECE6 BB 00030000 mov ebx,300
0040ECEB E8 57000000 call dcse.0040ED47
0040ECF0 83C4 28 add esp,28
0040ECF3 8BE5 mov esp,ebp
0040ECF5 5D pop ebp
0040ECF6 C3 retn
*******************************
重启验证
80%-90%的软件基本都是重启验证类型
1、注册表类型
Bpx RegOpenKeyA(W)
Bpx RegOpenKeyExA(W)
2、ini文件类型(*.reg/*.ini)
Bpx GetPrivateProfileStringA
3、其他文件类型(*.dat/*.lic…)
Bpx CreateFileA(W)
Bpx ReadFile
4、DLL文件操作类型
如果没有什么有效的拦截函数,不妨试一下Bpx CreateFileA(W).余下的就是通过你的经验去判断了(例如:35课)
注意:建议使用Bpx断点,这样,比较快捷、准确。尚若Bpx失效,再尝试bp
方便断点设置的有以下3个断点插件,APIBreak中国版(不带Point-H),APIBreak英文版(带Point-H)、+BP-Olly
***********************************************************************************************************
*******************************
去nag框的方法
1、若是Delphi&BCB程序,可以通过FormCreate法查找到FormCreate,再单步跟踪,找到窗口的调用CALL,一般它的具体形
式是call dword ptr ds:[edx+E8]
2、OD载入程序后,单步跟踪,找到窗口的调用CALL
***********************************************************************************************************
*******************************
两种经典方法
1、Point-H法
此法类似下断点bp GetWindowText(A/W),但是,在某些Point-H断不下来的情况下,bp GetWindowText(A/W)却可以断下来
。Point-H能够断下来的,bp GetWindowTextA基本上都可以顺利断下
2、转存跟踪法
到底是byte/word/Dword断点,一般情况下是byte,其他特殊情况大家临场判断
***********************************************************************************************************
*******************************
灰色按钮
有两种情况:通过代码和控件属性
VB语言:
代码:ctrl+b查找 816C24,在JMP下断,然后F2运行程序,把 push ebp 改为 retn,或者把这些代码全NOP掉
控件属性:VBExplorer FZ工具改属性
Delphi/BC++语言:
代码:通过DEDE找FormCreate,记下地址,改 retn
控件属性:相关FZ工具改属性
易语言:
代码:bp EnableWindow,断下后返回,把 push ebp 改为 retn
控件属性:用十六进制工具查找 BOB4C5A5 ,把它后面的 07 改 05
逆向时常用断点:
VB MASM32 VC BCB 易语言 Delphi
VB逆向
1、VBExplorer查找按钮事件
2、有提示框则bp rtcMsgBox
3、通过bp __vbaStrCmp/__vbaStrComp/__vbaVarTstEq
bp __vbaStrCmp
bp __vbaStrComp
4、万能断点法(816C24法)
注册验证程序可以用这个断点下断,一般离程序访问注册表很近:
bp __vbaStrToAnsi
5.F12堆栈调用
总结:
VB程序逆向的关键跳转,一般与其它语言的不同,没有JPM XXXXXXX
一般以 JE/JNE XXXXXXXXX 跳转记录一般不会很远(虽然是短距离跳转,但是关键就在这里,可以设置大量的信息) 。如
果发现False/True 可能是关键点
VB:
XXXXXXX JE/JNE XXXXX
设置信息
Delphi BC++ 易语言 VC++ 汇编:
XXXXXXX JE/JNE XXXXX
设置信息
XXXXXXX JMP XXXXX
设置信息
VC++ 汇编(有的 一段,一段的):
XXXXXXX JE/JNE XXXXX
设置信息
retn
push xx
设置信息
retn
push xx
设置信息
retn
易语言
易语言逆向分析思路:
1. 信息框法 bp MessageBoxA(断对话框)
2.字符串法
查看易语言文本信息:
bp GetProcessHeap F9运行4次,取消断点 执行ALT+F9 用户代码 F8单步走
或者在区段为”.data”/”.ecode”下断,运行
3.窗口标题法 bp SetWindowTextA
4.F12堆栈调用
0040C0CB=易语言.0040C0CB (ASCII “shaonanshaonvluntan”)
DELPHI逆向:
1、DEDE、PE Explorer ResScope作为强有力的FZ工具找按妞事件
2、Point-H法
3、bp GetDlgItem/GetDlgItemTextA(断输入框)
4、bp MessageBoxA(W)(断对话框)—Ctrl+N
5、字符串法—插件/搜索所有参考文本
6、如果程序界面标题有[未注册/注册/VIP版/标准版/钻石版] 之类字样的
可以通过查找FormCreate/FormShow—-DEDE,找到关键标志位!
来判断程序怎么样的判断是否注册或者用户类型
7. 窗口标题法 bp SetWindowTextA
8.F12堆栈调用
注册表:
bpx RegCreateKeyExA 对于Delphi程序程序来说,用这个断点比较合适
bp RegCreateKeyExA 对于加了壳的程序
注册码:Rc1-420+用户名(不能为整数,)+C00L
C+逆向
C类
Point-H法
bp GetDlgItem(断按下按钮)
bp MessageBoxA(断对话框)
字符串法
F12堆栈调用
窗口标题法 bp SetWindowTextA
★★C+程序专用断点★★
bp lstrcmpA (KERNEL32.lstrcmpA) 比较用法
bp _mbscmp //比较
C类程序的经典断点:
bp GetWindowTextA(断按下按钮) //也是适用于其它语言
bp GetWindowTextLengthA(断按下按钮) //也是适用于其它语言
bp GetDlgItem(断按下按钮) //也是适用于其它语言
bp GetDlgItemTextA
ds:[004021C8]=77C01881 (msvcrt._mbscmp)
BC++逆向
1、DEDE、PE Explorer作为强有力的FZ工具找按妞事件
2、Point-H法
3、bp GetDlgItem/GetDlgItemTextA(断输入框)
4、bp MessageBoxA(W)(断对话框)—Ctrl+N
5、字符串法—插件/搜索所有参考文本
6、如果程序界面标题有[未注册/注册/VIP版/标准版/钻石版] 之类字样的
可以通过查找FormCreate/FormShow—-DEDE,找到关键标志位!
来判断程序怎么样的判断是否注册或者用户类型
7.窗口标题法 bp SetWindowTextA
8.F12堆栈调用
bpx RegCreateKeyExA 对于Delphi程序程序来说,用这个断点比较合适
bp RegCreateKeyExA 对于加了壳的程序
MASM32 / TASM32逆向
入口点 :
004011C7 6A 00 push 0
004011C9 E8 5E070000 call 0040192C
004011CE A3 70614000 mov dword ptr ds:[406170],eax
004011D3 6A 00 push 0
004011D5 68 EE114000 push MASM32.004011EE
004011DA 6A 00 push 0
004011DC 68 C8000000 push 0C8
Point-H法
bp GetDlgItem(断按下按钮)
bp MessageBoxA(断对话框)
字符串法
F12堆栈调用
窗口标题法 bp SetWindowTextA
OD常用断点2
1、限制程序功能函数
EnableMenuItem 允许、禁止或变灰指定的菜单条目
EnableWindow 允许或禁止鼠标和键盘控制指定窗口和条目(禁止时菜单变灰)
2、对话框函数
CreateDialog 从资源模板建立一非模态对话窗
CreateDialogParam 从资源模板建立一非模态对话窗
CreateDialogIndirect 从内存模板建立一非模态对话窗
CreateDialogIndirectParam 从内存模板建立一非模态对话窗
DialogBox 从资源模板建立一模态对话窗
DialogBoxParam 从资源模板建立一模态对话窗
DialogBoxIndirect 从内存模板建立一模态对话窗
DialogBoxIndirectParam 从内存模板建立一模态对话窗
EndDialog 结束一模态对话窗
MessageBox 显示一信息对话框
MessageBoxEx 显示一信息对话框
MessageBoxIndirect 显示一定制信息对话框
GetDlgItemInt 得指定输入框整数值
GetDlgItemText 得指定输入框输入字符串
GetDlgItemTextA 得指定输入框输入字符串
Hmemcpy 内存复制 (非应用程序直接调用)
3、磁盘处理函数1273?GAMEHK所有–admin?11326
GetDiskFreeSpaceA 获取与一个磁盘的组织有关的信息,以及了解剩余空间的容量
GetDiskFreeSpaceExA 获取与一个磁盘的组织以及剩余空间容量有关的信息
GetDriveTypeA 判断一个磁盘驱动器的类型
GetLogicalDrives 判断系统中存在哪些逻辑驱动器字母
GetFullPathNameA 获取指定文件的详细路径
GetVolumeInformationA 获取与一个磁盘卷有关的信息
GetWindowsDirectoryA 获取Windows目录的完整路径名
GetSystemDirectoryA 取得Windows系统目录(即System目录)的完整路径名
4、文件处理函数
CreateFileA 打开和创建文件、管道、邮槽、通信服务、设备以及控制台
OpenFile 这个函数能执行大量不同的文件操作
ReadFile 从文件中读出数据
ReadFileEx 与ReadFile相似,只是它只能用于异步读操作,并包含了一个完整的回调
WriteFile 将数据写入一个文件
WriteFileEx 与WriteFile类似,只是它只能用于异步写操作,并包括了一个完整的回调
SetFilePointer 在一个文件中设置当前的读写位置
SetEndOfFile 针对一个打开的文件,将当前文件位置设为文件末尾
CloseHandle 关闭一个内核对象。其中包括文件、文件映射、进程、线程、安全和同步对象等
_lcreat 创建一个文件
_lopen 以二进制模式打开指定的文件
_lread 将文件中的数据读入内存缓冲区
_lwrite 将数据从内存缓冲区写入一个文件
_llseek 设置文件中进行读写的当前位置
_lclose 关闭指定的文件
_hread 将文件中的数据读入内存缓冲区
_hwrite 将数据从内存缓冲区写入一个文件
OpenFileMappingA 打开一个现成的文件映射对象
CreateFileMappingA 创建一个新的文件映射对象
MapViewOfFile 将一个文件映射对象映射到当前应用程序的地址空间
MapViewOfFileEx (内容同上)
CreateDirectoryA 创建一个新目录
CreateDirectoryExA 创建一个新目录
RemoveDirectoryA 删除指定目录
SetCurrentDirectoryA 设置当前目录
MoveFileA 移动文件
DeleteFileA 删除指定文件
CopyFileA 复制文件
CompareFileTime 对比两个文件的时间
SetFileAttributesA 设置文件属性
SetFileTime 设置文件的创建、访问及上次修改时间
FindFirstFileA 根据文件名查找文件
FindNextFileA 根据调用FindFirstFile函数时指定的一个文件名查找下一个文件
FindClose 关闭由FindFirstFile函数创建的一个搜索句柄
SearchPathA 查找指定文件
GetBinaryTypeA 判断文件是否可以执行
GetFileAttributesA 判断指定文件的属性
GetFileSize 判断文件长度
GetFileTime 取得指定文件的时间信息
GetFileType 在给出文件句柄的前提下,判断文件类型
5、注册表处理函数
RegOpenKeyA 打开一个现有的注册表项
RegOpenKeyExA 打开一个现有的注册表项
RegCreateKeyA 在指定的项下创建或打开一个项
RegCreateKeyExA 在指定项下创建新项的更复杂的方式
RegDeleteKeyA 删除现有项下方一个指定的子项
RegDeleteValueA 删除指定项下方的一个值
RegQueryValueA 获取一个项的设置值
RegQueryValueExA 获取一个项的设置值
RegSetValueA 设置指定项或子项的值
RegSetValueExA 设置指定项的值
RegCloseKey 关闭系统注册表中的一个项(或键)
6、时间处理函数
CompareFileTime 比较两文件时间
GetFileTime 得文件建立,最后访问,修改时间
GetLocalTime 得当前本地时间
GetSystemTime 得当前系统时间
GetTickCount 得windows启动至现时毫秒
SetFileTime 设置文件时间
SetLocalTime 设置本地时间
SetSystemTime 设置系统时间
7、进程函数
CreateProcessA 创建一个新进程
ExitProcess 以干净的方式关闭一个进程
FindExecutableA 查找与一个指定文件关联在一起的程序的文件名
FreeLibray 释放指定的动态链库
GetCurrentProcess 获取当前进程的一个伪句柄
GetCurrentProcessId 获取当前进程一个唯一的标识符
GetCurrentThread 获取当前线程的一个伪句柄
GetExitCodeProces 获取一个已结束进程的退出代码
GetExitCodeThread 获取一个已结束线程的退出代码
GetModuleHandleA 获取一个应用程序或动态链接库的模块句柄
GetPriorityClassA 获取特定进程的优先级别
LoadLibraryA 载入指定的动态链接库,并将它映射到当前进程使用的地址空间
LoadLibraryExA 装载指定的动态链接库,并为当前进程把它映射到地址空间
LoadModule 载入一个windows应用程序,并在指定的环境中运行
TerminateProcess 结束一个进程 |
温馨提示:
1、在论坛里发表的文章仅代表作者本人的观点,与本网站立场无关。
2、论坛的所有内容都不保证其准确性,有效性,时间性。阅读本站内容因误导等因素而造成的损失本站不承担连带责任。
3、当政府机关依照法定程序要求披露信息时,论坛均得免责。
4、若因线路及非本站所能控制范围的故障导致暂停服务期间造成的一切不便与损失,论坛不负任何责任。
5、注册会员通过任何手段和方法针对论坛进行破坏,我们有权对其行为作出处理。并保留进一步追究其责任的权利。
----------------------------------------------------------------------------------------------------------------------------
文章采用: 《 署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》许可协议授权。
版权声明:未标注转载均为本站原创,转载时请以链接形式注明文章出处。如有侵权、不妥之处,请联系站长删除。敬请谅解!
|
发表于 2023-2-24 22:27:16