哪些地址段是程序领空？哪些地址段是系统领空？

显示全部楼层 · 2013-9-4 10:04:19

结合反汇编窗口的数据结构。以及数据窗口的跟随。还要寄存器窗口的变化。来判断是不是你需要的。堆栈窗口存储了重要的数据地址。可以再想看的那一条堆栈用反汇编窗口跟随。来查看它的上下结构。用数据窗口跟随。查看其数据。比如关键码。账号密码。注册码之类。有时候能查看到。有时候堆栈反复入栈出栈在寄存器上能看到其地址送入了哪个寄存器。得知某些地址经常使用。关键处可能在那。不过总的来说。LZ的基础太差了。你一句话哪个函数是需要的。我得说明很多。因为问题很广。仅仅一个广阔的问题。包涵了几十个要点。甚至包括几十个问题。还要多看书。我基本功也很不扎实。分辨程序领空最简单的办法就是00XXXXXX地址很大可能是程序领空。如果是7FXXXXXX这一类的就是系统领空。有时候OD上...

千问 · 2013-9-4 10:04:19

通常情况下：04开头的是程序领空。其他的就是系统的领空了。一般分析都是在程序领空中分析~...

千问 · 2013-9-4 10:04:19

系统领空就是系统api接口或者图形接口、类库dll等简单来说就是系统自带的一些dll(kernel32.dll ntdll.dll user32.dll MFC42.DLL等等),跟你的程序无关程序领空可以是主程序exe,也可以是你要破解的程序的dll文件...