操作系统版本： Windows Xp 编译器：Vc6.0 编译模式：Release 前言在Windows中的申请堆内存的方式有很多，例如：LocalAloc、malloc等 在这些函数实际上内部都是调用RtlAllocateHeap函数进行申请的，在分析对堆的数据结构时，只分析这一个函数 ...

游戏中大概有3种文件，分别是pyc，nxs，npk，还有一些配置文件就不说了 这里的pyc是修改过opcode的，pyc文件加密后就是nxs文件，nxs文件会被打包到npk文件中 我们从里向外说吧，先放出GitHub链接 https://github.com/yuanbi/NeteaseUnpack ...

虚拟机概述 一个正常的二进制文件，假设为x，那么执行他的是Windows操作系统，也就是解释器，假设为A， 那么vmp加壳的时候，会根据加壳文件的代码，转化为自己的代码，但行为不变，假设push eax，的字节码为0x03，那么vmp就会修改这个值，假设为0x04，但实际执行的时候还是回执行push ...

代码校验简化后的代码 123456789101112131415START：mov edx,dword ptr ss:[ebp]add ebp,0x4LOOP：xor eax,eaxmov ecx,eaxshl eax,0x7shr ecx,0x19or eax,ecxxor al,byte ptr ...

1 https://github.com/x64dbg/x64dbgpy asdfasfd NAME x64dbgpy.pluginsdk._scriptapiFILE​ c:\softfo~1\release\x32\plugins\x64dbgpy\x64dbgpy\pluginsdk_s ...

python反编译工具一抓一大把 为什么还要自己搞？ python混肴代码可以让部分工具反编译失败，这还不是最难受的，有的人直接修改了python字节码，自己编译了python，会有人这么无聊吗？没错我碰上了 碰上这种情况怎么办？搞一份python代码，在修改过的python里跑一遍，在原版的pyt ...

API 检测123456PBYTE pCC = (PBYTE)MessageBoxW;if (*pCC == 0xCC){ return true;}MessageBoxW(0, L"未发现调试器！\n", 0, 0); 在调试器中下断点时,会将目标地址的首 ...

喜欢上了网易的一款游戏，但是太肝了，开新区要连续肝6、7个小时，这太难受了，萌生了写辅助的想法，开始分析找到了几个Hook点，辅助这个东西难度不大，用dll注入的方式很快就写完了，随便贴个图 刚刚写完，到了晚上游戏更新，dll注入后游戏就退出，网易的效率还真是高[微笑] 换成代码注入吧，换汤不换药 ...

碰上了这个壳，具体文件就不说了 百度查了一圈找不到相关文章？难道要手脱？ 濒临绝望之前，看到了国外某大佬的文章，链接：https://zenhax.com/viewtopic.php?f=4&t=1051Hello 来看过程吧 PEID查壳 脱壳需要的文件如下： OD 插件： ODBGSc ...

微信接口分析 之前搞过一次微信结构分析，想做一次记录，微信最近更新了，那就重新分析下吧。 微信版本号： 主要分析发送和接收消息。 用到的工具CE、x64dbg。 文中主要解决的点： 找到接收消息的关键点，实现可拦截，修改。 找到发送消息的关键点，实现可拦截，可外部调用。 先来分析接收消息吧，分析前 ...