读文件反汇编特征

 

 

 当遇见地址之后大概率 会有文件操作  这里根据最近一个函数  

只是要调用的函数进行参数初始化

 

 

 对文件需要的参数进行初始化    这里的80 就是 80000000  文件的读取属性

#define GENERIC_READ                     (0x80000000L)

 

 

 可以看到读取文件以ascii 形式

HANDLE CreateFileA(
  LPCSTR                lpFileName,
  DWORD                 dwDesiredAccess,
  DWORD                 dwShareMode,
  LPSECURITY_ATTRIBUTES lpSecurityAttributes,
  DWORD                 dwCreationDisposition,
  DWORD                 dwFlagsAndAttributes,
  HANDLE                hTemplateFile
);

 

 

 创建了读 肯定有 ReadfILE 函数

BOOL ReadFile(
    HANDLE hFile,                                    //文件的句柄
    LPVOID lpBuffer,                                //用于保存读入数据的一个缓冲区
    DWORD nNumberOfBytesToRead,    //要读入的字节数
    LPDWORD lpNumberOfBytesRead,    //指向实际读取字节数的指针
    LPOVERLAPPED lpOverlapped
    //如文件打开时指定了FILE_FLAG_OVERLAPPED，那么必须，用这个参数引用一个特殊的结构。
    //该结构定义了一次异步读取操作。否则，应将这个参数设为NULL
);