YJX_RXJH_CE_知识点
1、2.5.8
【05:00】这里 CE的搜索范围(内存扫描选项)是"32字节",扫不出来的话 扩大范围选"全部"
【22:08】CE再次 打开 当前已经打开的进程,这样CE就卸载了当前的进程了
2、3.1.1
【03:52】CE中设置的选项是"简化",∴ 输入的浮点数 77 不需要带小数部分
3、ZC
我想到的 验证OD中看到的地址是否是基址(假设是 0x????????)的方法:
3.1、OD中“dd ????????”看到它的值为 0xYYYYYYYY,到CE中 搜索精确的值 0xYYYYYYYY,可以看到 0x???????? 肯定出现在结果列表中,然后 看0x???????? 是否是绿色的
3.2、PE文件结构
3.2.1、分析 磁盘文件的 PE文件结构,看 0x???????? 是否是位于全局变量区域 (貌似可能会有多种节,文件还可能被加密压缩等,比较麻烦...)
3.2.2、分析 被加载到内存后的 PE文件结构,看 0x???????? 是否是位于全局变量区域 (貌似可能会有多种节)
ZC: 貌似 OD中看到汇编语句直接访问一个绝对地址,那么这个绝对地址 应该就是基址了。如3.2.4【24:27】中CE“查找访问该地址的代码”显示了汇编直接访问一个绝对地址
4、
5、