精易论坛

标题: 这个内存地址怎么读,大佬来看Kan [打印本页]
作者: xianggu    时间: 2024-4-25 21:04
标题: 这个内存地址怎么读,大佬来看Kan
如图,我要红框里的地址,但是每次打开进程会变,不会变的是"THREADSTACKO"


补充内容 (2024-4-25 21:05):
只想用精易,不要大漠~

1714048939536.jpg (27.76 KB, 下载次数: 6)

1714048939536.jpg
作者: 周小杰来也    时间: 2024-4-25 21:17
先搜索数值找会变的地址,然后根据地址找偏移和jz,最后    jz+偏移1+偏移2=每次都会变的地址

补充内容 (2024-4-25 21:17):
JZ=基=======1址
作者: cjdehao2017    时间: 2024-4-25 21:19
这是十六进制吗 我怎么看不懂~
作者: xianggu    时间: 2024-4-25 21:20
周小杰来也 发表于 2024-4-25 21:17
先搜索数值找会变的地址,然后根据地址找偏移和jz,最后    jz+偏移1+偏移2=每次都会变的地址

补充内容 (2 ...

哥 没有偏移  就是那一串字符  就是jz
作者: 周小杰来也    时间: 2024-4-25 21:21
xianggu 发表于 2024-4-25 21:20
哥 没有偏移  就是那一串字符  就是jz

没见过= =
作者: 157151799    时间: 2024-4-25 21:23
看看看看
作者: 莉繁    时间: 2024-4-25 22:32
哥,这是申请的地址,注册的一个地址,你要看脚本内容啊,不看谁知道
作者: xianggu    时间: 2024-4-25 22:35
莉繁 发表于 2024-4-25 22:32
哥,这是申请的地址,注册的一个地址,你要看脚本内容啊,不看谁知道

怎么看呀~
作者: 莉繁    时间: 2024-4-25 22:36
xianggu 发表于 2024-4-25 22:35
怎么看呀~

你肯定是执行了某个脚本啊,那个脚本注册了一个地址
作者: xianggu    时间: 2024-4-25 22:39
莉繁 发表于 2024-4-25 22:36
你肯定是执行了某个脚本啊,那个脚本注册了一个地址

没有  软件打开  EC直接读 读出来的地址就是不一样的  软件没关就不会变 软件关了重写打开CE在读地址 就变了
作者: 莉繁    时间: 2024-4-25 22:40
xianggu 发表于 2024-4-25 22:39
没有  软件打开  EC直接读 读出来的地址就是不一样的  软件没关就不会变 软件关了重写打开CE在读地址 就 ...

你CT表里就只有个这个地址?
作者: xianggu    时间: 2024-4-25 22:43
莉繁 发表于 2024-4-25 22:40
你CT表里就只有个这个地址?

"THREADSTACKO"-000F8D  原地址是这一样的
作者: 莉繁    时间: 2024-4-25 22:45
xianggu 发表于 2024-4-25 22:43
"THREADSTACKO"-000F8D  原地址是这一样的

你发CT表出来
作者: xianggu    时间: 2024-4-25 22:47
莉繁 发表于 2024-4-25 22:45
你发CT表出来

现在发不了了,远程电脑关机了 得明天
作者: 莉繁    时间: 2024-4-25 22:48
xianggu 发表于 2024-4-25 22:47
现在发不了了,远程电脑关机了 得明天

我明天晚上有空,白天上学
作者: xianggu    时间: 2024-4-25 22:52
莉繁 发表于 2024-4-25 22:48
我明天晚上有空,白天上学

我也是的~~
作者: bysy    时间: 2024-4-25 23:02
这个好像是这是一个符号,看名字应该是线程栈,启动线程时的栈起始地址 估计
作者: xianggu    时间: 2024-4-26 08:38
莉繁 发表于 2024-4-25 22:40
你CT表里就只有个这个地址?

這是指針,怎麼讀?

1714091824989.jpg (17.15 KB, 下载次数: 5)

1714091824989.jpg
作者: xianggu    时间: 2024-4-26 08:39
bysy 发表于 2024-4-25 23:02
这个好像是这是一个符号,看名字应该是线程栈,启动线程时的栈起始地址 估计 ...

沒辦法讀地址嘛~
作者: IIIllIIl    时间: 2024-4-26 12:29
用NtQueryInformationThread查线程TEB,读出StackBase,StackBase-0x1000,读出这一整个页,在这个页里搜一个范围在kernel32.dll模块内的返回地址,然后StackBase - 0x1000 + 找到地址的偏移就是CE的THREADSTACK
作者: xianggu    时间: 2024-4-26 14:12
我的小拇指啊 发表于 2024-4-26 12:29
用NtQueryInformationThread查线程TEB,读出StackBase,StackBase-0x1000,读出这一整个页,在这个页里搜一 ...

很好,完全看不懂
作者: imoling    时间: 2024-8-9 09:11
模块的入口吧,记得是可以读到,搞传奇的时候弄过,忘了忘了,有几十年没搞了。



欢迎光临 精易论坛 (https://125.confly.eu.org/) Powered by Discuz! X3.4