随笔分类 - 逆向
摘要:文章来源:https://0xrick.github.io/win-internals/pe5/ 目录简介Data DirectoriesSections 以及 Section HeadersSection Headers总结 简介 上一篇文章中,我们讨论了NT Headers,但是我们跳过了Opt
阅读全文
摘要:文章来源:https://0xrick.github.io/win-internals/pe4/ 目录简介NT Headers(IMAGE_NT_HEADERS)签名 SignatureFile Header(IMAGE_FILE_HEADER)Optional Header (IMAGE_OPTI
阅读全文
摘要:https://0xrick.github.io/win-internals/pe3/ 目录简介DOS Header概览结构DOS Stub概览Rich Header 简介 上一篇文章我们简单地看了一下PE文件结构,这篇文章我们会讨论PE文件结构中的前两部分,DOS Header以及DOS Stub
阅读全文
摘要:文章来源:https://0xrick.github.io/win-internals/pe2/ 目录简介PE文件结构预览Dos HeaderDOS StubNT HeadersSection HeadersSections总结 简介 该篇文章的目标是,在不涉及细节的情况下,简单介绍一下PE文件格式
阅读全文
摘要:这里一开始用了Pinvoke.net,后来发现它的WriteProcessMemory接口和win32APi里的WriteProcessMemory 不太一样。就抄了一个其他的。 internal partial class CheatCore { [DllImport("kernel32.dll"
阅读全文
摘要:想要实现僵尸位置不动,那么需要先找到僵尸对象的地址。 上文我们知道了植物血量的偏移以及植物扣血的指令位置。 在0052FCF0地址的指令执行时,植物被僵尸咬会扣血,断点断住的时候,寄存器的值如下 既然是被僵尸攻击,那么这些寄存器中有概率存在僵尸对象的地址。这里EBP和ESI这两个寄存器里面的地址比较
阅读全文
摘要:从上文我们可以知道,69F2C0 地址是植物卡片信息数组的起始地址。 这里我尝试修改了土豆的属性,将其变为1。但土豆没有立刻被僵尸吃掉,时间还是和之前的差不多。 那么信息应该就和没改过的6720496有关,观察这个数字和它前面的67205XX数字,感觉这个应该是指针,数组里面的类的大小应该是18字节
阅读全文
摘要:0041BA60 地址的函数 总阳光减去了植物需要的阳光。 要想实现无CD,我们可以从这里入手。 猜测存在 植物卡片这样的类。只要找到Suncost阳光消耗的地址,附近应该就有CD的地址。 class PlantCard{ int PlantId; int SunCost; // int Plant
阅读全文
摘要:失败的一次尝试 先用Cheat Engine扫阳光的地址,然后找到修改该值的代码。一个是捡阳光时增加,一个是种植物减少。 这里我们看种植物减少的部分。 0041BA76 将计算过的阳光赋值回 阳光数量 这个变量。 一开始的方向是想找到位于.data section的指针,一直指向 edi+0x556
阅读全文
摘要:winrar个人免费版的广告每次打开都会弹出,影响操作。这篇文章记录一下如何关闭广告。 思路:找到打开窗口的代码,用nop替换。 观察到广告窗体title的内容是WinRAR,于是在x64dbg中搜索对应的字符串WinRAR。找到多个地方访问这个地址的值,下断点后运行。 在某处断点运行后打开了广告窗
阅读全文
摘要:https://www.youtube.com/@crackinglessons5474
阅读全文
