YJX_RXJH_CE_知识点

1、2.5.8

　　【05:00】这里 CE的搜索范围(内存扫描选项)是"32字节"，扫不出来的话 扩大范围选"全部"

　　【22:08】CE再次 打开 当前已经打开的进程，这样CE就卸载了当前的进程了

 

2、3.1.1

　　【03:52】CE中设置的选项是"简化"，∴ 输入的浮点数 77 不需要带小数部分

 

3、ZC

　　我想到的 验证OD中看到的地址是否是基址(假设是 0x????????)的方法：

　　3.1、OD中“dd ????????”看到它的值为 0xYYYYYYYY，到CE中 搜索精确的值 0xYYYYYYYY，可以看到 0x???????? 肯定出现在结果列表中，然后 看0x???????? 是否是绿色的

　　3.2、PE文件结构

　　　　3.2.1、分析 磁盘文件的 PE文件结构，看 0x???????? 是否是位于全局变量区域 (貌似可能会有多种节，文件还可能被加密压缩等，比较麻烦...)

　　　　3.2.2、分析 被加载到内存后的 PE文件结构，看 0x???????? 是否是位于全局变量区域 (貌似可能会有多种节)

　　ZC: 貌似 OD中看到汇编语句直接访问一个绝对地址，那么这个绝对地址 应该就是基址了。如3.2.4【24:27】中CE“查找访问该地址的代码”显示了汇编直接访问一个绝对地址

4、

5、