Win32汇编学习笔记07.筛选器异常

最新推荐文章于 2025-08-24 13:12:35 发布
最新推荐文章于 2025-08-24 13:12:35 发布
阅读量1.1k 收藏 15
点赞数 19
CC 4.0 BY-SA版权
文章标签: 汇编 学习 笔记
本文链接:https://blog.csdn.net/mrxiao23/article/details/145018136

Win32汇编学习笔记07.筛选器异常-C/C++基础-断点社区-专业的老牌游戏安全技术交流社区 - BpSend.net钢琴

od调试老师给的多媒体钢琴

img

运行找到Piano的过程函数里去

img

找到处理WM_KEYDOWN消息的那

img

下个断点,然后按键断下来在这

img

  • 分析上图汇编代码:mov eax,dword ptr [ebp+10] 拿wParma
  • lea ecx,dword ptr [eax-41] ,41的ASSCII为A,这里应该是判断是哪个按键做准备
  • cmp ecx,19 19h->25,0~25为26个数,对应26个字母
  • ja imm 大于则不是字母按键,跳出
  • 发出声音功能的函数应该是下面的call <jnp.&oiano_dll.fun_lpayOneSound>
  • 然后我们观察该函数,分析其为C调用约定,传入一个参数,push eax

  • img

  • 该函数参数eax的来源是上面的wParma

我们去写一个win32程序去测试一下

RasAsm创建工程MyPiano

img

相应地方:;=============包起来的是后加入的代码

586
.model flat,stdcall
option casemap:none

   include windows.inc
   include user32.inc
   include kernel32.inc
   
   includelib user32.lib
   includelib kernel32.lib


WinMain proto :DWORD,:DWORD,:DWORD,:DWORD


.data
   ClassName db "MainWinClass",0
   AppName  db "Main Window",0
   g_szPianoDll db "piano_dll",0
   g_szPlayOneSound db "fun_playOneSound",0
   g_pfnPlayOneSound dd 0
   g_hPianoDll dd 0

.data?
   hInstance HINSTANCE ?
   CommandLine LPSTR ?

.code


; ---------------------------------------------------------------------------


start:
	;=============
	invoke LoadLibrary,offset g_szPianoDll
	mov g_hPianoDll,eax
	invoke GetProcAddress,g_hPianoDll,offset g_szPlayOneSound
	mov g_pfnPlayOneSound,eax
	;=============

	invoke GetModuleHandle, NULL
	mov    hInstance,eax

	invoke GetCommandLine
	mov    CommandLine,eax

	invoke WinMain, hInstance,NULL,CommandLine, SW_SHOWDEFAULT
	invoke ExitProcess,eax

WinMain proc hInst:HINSTANCE,hPrevInst:HINSTANCE,CmdLine:LPSTR,CmdShow:DWORD
	LOCAL wc:WNDCLASSEX
	LOCAL msg:MSG
	LOCAL hwnd:HWND

	mov   wc.cbSize,SIZEOF WNDCLASSEX
	mov   wc.style, CS_HREDRAW or CS_VREDRAW
	mov   wc.lpfnWndProc, OFFSET WndProc
	mov   wc.cbClsExtra,NULL
	mov   wc.cbWndExtra,NULL
	push  hInstance
	pop   wc.hInstance
	mov   wc.hbrBackground,COLOR_BTNFACE+1
	mov   wc.lpszMenuName,NULL
	mov   wc.lpszClassName,OFFSET ClassName

	invoke LoadIcon,NULL,IDI_APPLICATION
	mov   wc.hIcon,eax
	mov   wc.hIconSm,eax

	invoke LoadCursor,NULL,IDC_ARROW
	mov   wc.hCursor,eax

	invoke RegisterClassEx, addr wc
	INVOKE CreateWindowEx,NULL,ADDR ClassName,ADDR AppName,\
           WS_OVERLAPPEDWINDOW,CW_USEDEFAULT,\
           CW_USEDEFAULT,CW_USEDEFAULT,CW_USEDEFAULT,NULL,NULL,\
           hInst,NULL
	mov   hwnd,eax

	invoke ShowWindow, hwnd,SW_SHOWNORMAL
	invoke UpdateWindow, hwnd

	.WHILE TRUE
		invoke GetMessage, ADDR msg,NULL,0,0
		.BREAK .IF (!eax)
		invoke TranslateMessage, ADDR msg
		invoke DispatchMessage, ADDR msg
	.ENDW

	mov     eax,msg.wParam
	ret
WinMain endp

WndProc proc hWnd:HWND, uMsg:UINT, wParam:WPARAM, lParam:LPARAM

	.IF uMsg==WM_DESTROY
		invoke PostQuitMessage,NULL
	.ELSEIF uMsg==WM_CREATE
  .elseif uMsg==WM_KEYDOWN
		;=============
		push wParam
		call g_pfnPlayOneSound
		add esp,4 
		;============= 
	.ELSE
		invoke DefWindowProc,hWnd,uMsg,wParam,lParam	
		ret
	.ENDIF

	xor eax,eax
	ret
WndProc endp


end start

但是我们发现无论是注入asm和刚刚的这个,都无法让钢琴发出声音,我们在换成 WM_KEYUP和 WM_KEYCHAR 结果跟 WM_KEYDOWN 一样 因此我们打开dll看看其导出函数(之前分析那个函数的所在dll)

img

猜想可能有所谓的播放环境,可能需要调用其它函数相辅相成

比如需要先调用fun_Create,可能调用时机比较早,我们直接用od调式去对应dll查看名称找该函数。

img

查看参考

img

发现只有一个地方式函数调用,我们直接去看看

最低0.47元/天 解锁文章

200万优质内容无限畅学
Win32 Dialog对话框处理WM_KEYDOWN事件
God,please give me a little more time ....
12-10 6173
MFC中重写虚函数PreTranslateMessage里是可以过滤WM_KEYDOWN消息的。但是如果是Win32 SDK中利用DialogBox/DialogBoxParam创建模态对话框一般行为是不处理WM_KEYDOWN消息的。如果该对话框中没有任何的子控件的话,在对话框的窗口回调函数DlgProc()中是可以过滤到WM_KEYDOWN消息的,不过并不是所有的键的消息都可以捕获到,例如像T
SZplayer 24.03.107.apk
03-29
SZplayer 24.03.107.apk
Win32汇编学习笔记11.游戏辅助的实现
彭于晏长沙分晏
01-13 1150
您会发现显示的竟然是 Tutorial.exe+60C34 而不是 00460c34 这是为什么呢?其实 Tutorial.exe+60C34 就等于 00460c34一般来说游戏在电脑中申请的地址是从00400000开始的,Tutorial.exe代表的就是 00400000 然后加上 60c34 自然就等于 00460c34。但是在某些情况下游戏的起始地址并不是从00400000开始的,或者说每次启动申请的地址都不相同;
Win32汇编学习笔记10.OD插件
彭于晏长沙分晏
01-12 728
第二次派发是一个分支,会判断是否有调试器,有的话就给调试器,没有的话直接给筛选器,因此系统会检查软件是否处于调试状态 即检查调试端口是否存在,如果存在,异常就会给调试器,否则给筛选器,所以我们在用 OD 调试筛选器异常时,是不可能再筛选器这下断点的,因此系统检测到了调试器,异常就不会给筛选器。因此我们可以欺骗系统,告诉系统,不存在调试器,直接给筛选器,因此我们需要找到 异常派发时,系统在哪判断是否有调试器存在的,找到后我们可以更改判断结果 或者跳转 的地方。
Win32汇编学习笔记09.SEH和反调试
彭于晏长沙分晏
01-09 670
跟筛选一样都是用来处理异常的,但不同的是 筛选器是整个进程最终处理异常的函数,但无法做到比较精细的去处理异常(例如处理某个函数的异常), 跟 C++ 的 try { } catch { } 的思路一脉相承, SHE 实现的 就是 函数自己 来处理自己的异常,实现方式就是通过回调函数实现的,把回调函数注册给操作系统,当你函数内部出现异常时,系统就会调用你的回调函数,此时就可以处理了,处理完之后可以继续执行代码或者把异常交给筛选器。可以看到 偏移为0 的位置 是一个异常链 表, , 记录的是一个结构体指针。
前端基础学习笔记
热门推荐
sober30的博客
07-27 1万+
css3有哪些新特性:圆角盒子阴影文本阴影不透明度 :opacity 、rgba渐变背景 :线性渐变、径向渐变背景属性:backgroud-size、background-clip(拓展)结构选择器:first-child()…伪元素新写法 :before ::before(css3) 为了和:hover之类的伪类选择器作区分弹性盒子:flex转换:2D转换、3D转换(拓展)过渡:一般搭配hover使用animation动画(拓展)媒体查询。
Linux基本指令介绍,学习笔记
SYUSYORIN的博客
08-21 472
区别是,软连接有主从关系,源文件为主,连接文件为从,删除主文件,从文件就成了一个指向空的图标,没有意义了。gcc -E hello.c -o hiall.i 此命令作用:用gcc命令 执行hello.c文件时,在预处理后,停下来,并将处理结果存放到“*.i”文件里,-E就是预处理后停下来,E要大写,预处理后的文件名后缀为i -o 后面是新生成的文件的文件名。整行删除,打开一个文本文档,需要删除某一行内容,进入命令行:3,选择第三行,然后输入dd,删除此行,用鼠标,键盘选择要删除的行也行。
C#学习笔记
2501_91088181的博客
03-12 1128
Visual Studio 2022解决方案(Solution)是针对客户需求的总的解决方案。举例:汽车经销商需要一套销售软件项目(Project)解决某个具体的问题一个解决方案(Solution)可以包含一个或多个项目(Project),类似于将一个大问题拆分成多个小问题进行解决,一般来说简单的解决方案只需要一个项目就足够了一个项目可以通过不同的模板来实现,从而满足不同的需求C#的文件扩展名是.cs 即控制台应用(.net framework) 单击F5进行调试运行,Ctrl+F5进行不调试运行,调试
桌面开发-学习笔记
weixin_52582672的博客
05-16 1241
注意:使用regasm命令生成tlb:regasm路径 dll路径 /tlb。delphi自定义控件需要将pas或dcu源文件路径添加到library。delphi调用c#编写好的dll。最小化图标@[TOC]测试。
学习笔记:Linux入门到进阶
qq_45743853的博客
09-15 6078
这篇是学习笔记:记录Linux学习过程中的要点疑点和难点。笔记简介:这篇笔记写于2022/09/15。
【嵌入式汇编基础】-数据处理指令(二)
视觉与物联智能
08-24 14
与大多数数据处理指令一样,移位指令可以采用不同的输入格式。移位量 n 可以指定为直接编码到指令中的常量值,也可以由在运行时加载 n 的寄存器指定。在本章中,我们将介绍不同的指令形式及其语法。每种指令类型的语法符号将在其所在章节的开头提供。
原子操作汇编实现:原理、流程与代码解析
最新发布
liulilittle的博客
08-24 247
原子操作汇编实现解析 本文深入剖析了Windows平台下原子操作的汇编实现原理。通过硬件级支持(LOCK前缀、XADD/CMPXCHG指令)确保多线程环境下的数据一致性。 核心实现包括: 原子加法:通过XADD指令实现内存值与寄存器的原子交换相加 原子减法:利用取负转换后调用加法操作 比较交换:使用CMPXCHG指令实现条件更新,自带内存屏障 原子读取:巧妙复用比较交换指令保证原子性 性能分析显示XADD指令周期为10-15,CMPXCHG为15-25。典型应用场景包括自旋锁实现和无锁队列操作。优化建议强调
学习Java24天
2401_88987098的博客
08-23 294
(调对象的read)相当于数据输入流(DateIntputstream)写什么打什么(如果要追加需要包低级管道,看第一行)161/199(这几天加把劲把JavaSE学完)(需要读时按照对应顺序的数据类型读数据)IO流(缓冲流和特殊流及io框架)(缓冲字节输入流(包装))(包含缓冲字节输出流)
数据湖学习
sun657053178的博客
08-20 1012
精通数据湖 = 架构原理 + 格式机制 + 引擎集成 + 元数据管理 + 实战经验。
学习游戏制作记录(制作提示框以及使用键盘切换UI)8.21
2503_90719681的博客
08-22 1149
创建提示框,添加文本子对象,用来描述名称,类型以及属性加成挂载垂直分配组件和文本大小适配组件,这样图像会根据文本大小来调整自己。
日语学习-日语知识点小记-构建基础-JLPT-N3阶段(18):文法+单词第6回1
qq_22146161的博客
08-21 616
自己在今年,在日本留学中,目前在语言学校,我自己不是那种一学什么的都能会的人,只能依靠自己一点一点积累,学习也分为很多种,自己跟着课本学是一种方法,如果记录下来,整理好,教给别人也是一种方式,我希望,以后每天一篇小的日语知识点小记,来构建基础,同时也可以帮助他人。草木在发芽,孩子在长大,岁月的列车不为谁而停下,不断学习,不断记录,本次学习又开始了一个新段落,当然,变得更加有难度了。如果您喜欢这个系列,请关注一下,您的关注,就是我持续创作的动力。
docker使用和部署深化学习
pandamf的专栏
08-21 666
Docker是一种轻量级容器技术,通过镜像封装应用及其依赖,实现跨环境一致运行。本文介绍了Docker核心概念(容器/镜像)、基础操作(拉取/运行镜像)和容器化部署流程。重点讲解了如何编写Dockerfile构建Python应用镜像,并对比了容器化部署与传统部署的差异:前者具有环境一致性高、资源占用少、部署快速等优势,后者则存在环境差异大、部署复杂等问题。通过实例演示了从构建到运行容器的完整流程,展现了Docker在应用部署中的便捷性。
c语言指针学习
曾大强博客
08-24 274
用途描述关键点基本操作通过指针间接访问和修改变量与数组高效地遍历和操作数组数组名即指针,指针算术运算与函数实现传址调用,修改实参,返回多个值函数参数定义为指针动态内存在运行时申请任意大小的内存malloccallocreallocfree掌握指针需要大量的练习和实践。先从简单的例子开始,理解地址和值的区别,然后再逐步深入到数组、函数和动态内存管理中。
React 学习笔记1 组件、State
mashirokayo的博客
08-22 715
React是用于构建用户界面的JS库。React是由Facebook(Meta)开发的,是开源的。React采用组件化模式、声明式编码,可以提高开发效率,提高代码复用率。使用React Native,可以用React语法进行移动端开发,可以使用JS编写安卓和IOS应用,而不需要使用java oc swift。React使用虚拟DOM和Diffing算法,减少与真实DOM的交互。
Windows下Win32汇编语言学习笔记整理
标题和描述中提到的知识点主要是关于在Windows环境下学习win32汇编语言的笔记整理。win32汇编语言是为Windows 32位操作系统所设计的一种汇编语言,与硬件平台直接关联,能够提供高效的系统编程能力。要深入学习win32...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

游戏安全实验室_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值