32位第五讲,逆向实战干货,快速定位扫雷内存.
首先,在逆向之前,大家先对OD有一个认识....:)
全局的数组,还是栈中的数组,还是new的数组, 我猜是全局的数组(不管对不对,分析一下准没错)
为什么是全局数组,第一,我们按下的时候要访问这个数组,第二,当扫雷绘制的时候也可能用这个数组.不然怎么会出来...,我们不知道哪个模块的,使用工具查看一下
,我们发现是Gdi32.dll里面的,那么开始执行下方的步骤
1.在OD中ALT + E 打开模块,查找GID32.dll
那么我们右键查看函数名称
跟随过去,...列的地址: 0x1005334
行的地址: 0x1005338
那么怎么寻找出雷的所在的位置那,我们把断点取消一下,我们开始运行起来扫雷,我们看下内存有什么变化
我们在第一行点击之后,绘制了一个1,我们发现内存的这个地方也改成...(ASI)的1了,那么我们点击第二个,验证我们的想法,
人品没谁了,第二个就是地雷,但是我们发现都变成了8F 8F了,那么我们存在疑问(8F是地雷吗?)