选择 " 是 " ,
默认 4096 不需要更改 , 选择 " 确定 " ,
然后就可以打开整个游戏的内存结构 ;
二、从内存结构中根据寻址路径查找子弹数据的内存地址
子弹数据的地址是 基地址 cstrike.exe+1100ABC ,
然后进行 3 次 基址变址寻址 , 第一次偏移量 7C , 第二次偏移量 5D4 , 第三次偏移量 CC ;
点开 0000 数据 ;
【Windows 逆向】CE 地址遍历工具 ( CE 结构剖析工具 | 从内存结构中根据寻址路径查找子弹数据的内存地址 )(二)
2022-02-08
206
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《
阿里云开发者社区用户服务协议》和
《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写
侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:
【Windows 逆向】CE 地址遍历工具 ( CE 结构剖析工具 | 从内存结构中根据寻址路径查找子弹数据的内存地址 )(二)
目录
相关文章
|
10月前
|
存储
缓存
安全
2.2 Windows驱动开发:内核自旋锁结构
提到自旋锁那就必须要说链表,在上一篇`《内核中的链表与结构体》`文章中简单实用链表结构来存储进程信息列表,相信读者应该已经理解了内核链表的基本使用,本篇文章将讲解自旋锁的简单应用,自旋锁是为了解决内核链表读写时存在线程同步问题,解决多线程同步问题必须要用锁,通常使用自旋锁,自旋锁是内核中提供的一种高IRQL锁,用同步以及独占的方式访问某个资源。在了解自旋锁之前需简单介绍一下内核中如何分配内存,一般而言分配内存有两个函数来实现`ExAllocatePool`可实现分配不带有任何标签的内存空间,而`ExAllocatePoolWithTag`则可分配带标签的,两者在使用上没有任何区别与之对应的就是
97
0
0
|
9月前
|
编译器
C++
Windows
9.4 Windows驱动开发:内核PE结构VA与FOA转换
本章将继续探索内核中解析PE文件的相关内容,PE文件中FOA与VA,RVA之间的转换也是很重要的,所谓的FOA是文件中的地址,VA则是内存装入后的虚拟地址,RVA是内存基址与当前地址的相对偏移,本章还是需要用到`《内核解析PE结构导出表》`中所封装的`KernelMapFile()`映射函数,在映射后对其PE格式进行相应的解析,并实现转换函数。
53
0
0
|
9月前
|
C语言
Windows
9.3 Windows驱动开发:内核解析PE结构节表
在笔者上一篇文章`《内核解析PE结构导出表》`介绍了如何解析内存导出表结构,本章将继续延申实现解析PE结构的PE头,PE节表等数据,总体而言内核中解析PE结构与应用层没什么不同,在上一篇文章中`LyShark`封装实现了`KernelMapFile()`内存映射函数,在之后的章节中这个函数会被多次用到,为了减少代码冗余,后期文章只列出重要部分,读者可以自行去前面的文章中寻找特定的片段。
40
0
0
|
9月前
|
存储
Windows
9.2 Windows驱动开发:内核解析PE结构导出表
在笔者的上一篇文章`《内核特征码扫描PE代码段》`中`LyShark`带大家通过封装好的`LySharkToolsUtilKernelBase`函数实现了动态获取内核模块基址,并通过`ntimage.h`头文件中提供的系列函数解析了指定内核模块的`PE节表`参数,本章将继续延申这个话题,实现对PE文件导出表的解析任务,导出表无法动态获取,解析导出表则必须读入内核模块到内存才可继续解析,所以我们需要分两步走,首先读入内核磁盘文件到内存,然后再通过`ntimage.h`中的系列函数解析即可。
82
0
0
|
9月前
|
存储
API
Windows
8.3 Windows驱动开发:内核遍历文件或目录
在笔者前一篇文章`《内核文件读写系列函数》`简单的介绍了内核中如何对文件进行基本的读写操作,本章我们将实现内核下遍历文件或目录这一功能,该功能的实现需要依赖于`ZwQueryDirectoryFile`这个内核API函数来实现,该函数可返回给定文件句柄指定的目录中文件的各种信息,此类信息会保存在`PFILE_BOTH_DIR_INFORMATION`结构下,通过遍历该目录即可获取到文件的详细参数,如下将具体分析并实现遍历目录功能。
89
0
0
|
9月前
|
存储
Windows
4.6 Windows驱动开发:内核遍历进程VAD结构体
在上一篇文章`《内核中实现Dump进程转储》`中我们实现了ARK工具的转存功能,本篇文章继续以内存为出发点介绍`VAD`结构,该结构的全程是`Virtual Address Descriptor`即`虚拟地址描述符`,VAD是一个`AVL`自`平衡二叉树`,树的每一个节点代表一段虚拟地址空间。程序中的代码段,数据段,堆段都会各种占用一个或多个`VAD`节点,由一个`MMVAD`结构完整描述。
104
0
0
|
4月前
|
Windows
|
10月前
|
网络协议
流计算
Windows
2.5 Windows驱动开发:DRIVER_OBJECT对象结构
在Windows内核中,每个设备驱动程序都需要一个`DRIVER_OBJECT`对象,该对象由系统创建并传递给驱动程序的`DriverEntry`函数。驱动程序使用此对象来注册与设备对象和其他系统对象的交互,并在操作系统需要与驱动程序进行交互时使用此对象。`DRIVER_OBJECT`对象还包含了与驱动程序所管理的设备对象相关联的设备扩展结构,以及用于处理`I/O`请求的函数指针等信息。它是驱动程序与操作系统内核之间的桥梁,用于协调设备的操作和管理。
74
0
0
|
API
C#
Windows
C#实现操作Windows窗口句柄:遍历、查找窗体和控件【窗口句柄最全总结之一】
C#对Windows窗口或窗口句柄的操作,都是通过 P/Invoke Win32 API 实现的,DllImport引入Windows API操作窗口(句柄),可以实现枚举已打开的窗口、向窗口...
3165
0
1
|
存储
C语言
C++
![[笔记]windows逆向学习](https://ucc.alicdn.com/pic/developer-ecology/ba529c88d5194eb3ac03dbb471ca11f7.png?x-oss-process=image/resize,h_160,m_lfit)
热门文章
最新文章
1
【windows】解决windows11网页经常打不开的问题和:No buffer space available (maximum connections reached?): bi...
2
Windows使用远程桌面连接树莓派
3
解决windows系统80端口被占用问题
4
Windows环境下使用wget的详细操作步骤(zip压缩包+环境配置)【超详细】
5
Windows XP 主流支持服务于2009年4月14日过期
6
微软Windows Server 2008之三设置TCP/IP
7
windows与虚拟机互联
8
Windows操作系统kill Oracle线程的实施方案
9
Windows Phone 实用开发技巧(19):使用ProgressIndicator做进度显示
10
[New Portal]Windows Azure Virtual Machine (8) Virtual Machine高可用(上)
1
如何在 Linux 上清除 RAM 内存缓存、缓冲区和交换空间?
122
2
3.默认值不一样【重点】 局部变量:没有默认值,如果要想使用,必须手动进行赋值 成员变量:如果没有赋值,会有默认值,规则和数组一样 4.内存的位置不一样(了解) 局部变量:位于栈内存 成员变量:位于堆内存 5生命周期不一样(了解)
40
3
Spark是一个基于内存的通用数据处理引擎,可以进行大规模数据处理和分析
89
4
阿里云服务器CPU内存配置详细指南,如何选择合适云服务器配置?
808
5
构建高效Android应用:采用Kotlin进行内存优化
195
6
深入理解操作系统内存管理:策略与实现基于深度学习的图像识别技术在自动驾驶系统中的应用
73
7
构建未来:以云原生为基石的分布式系统架构深入理解操作系统的内存管理机制
77
8
为对象分配内存TLAB
39
9
深入理解操作系统:内存管理与虚拟内存
61
10
深入理解操作系统内存管理:分页与分段的融合
364