高分求解大难题:如何到态得到api函数参数的个数,分数不够再加 不太容易哦1、DLL的函数参数不公开2、VB的函数调用就是通过LoadLibary动态调用的,它也要求API声明正确 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 使用Microsoft Visual Studio的工具DEPENDS.EXE可以查看动态库的接口函数,可以通过反汇编来知道接口函数的参数,建议使用W32DSM来分析,也可以直接使用VC来分析,就是麻烦一点。 现在使用W32DSM来具体说明: 1。先打开需要分析的DLL,然后通过菜单功能-》出口来找到需要分析的函数,双击就可以了。 它可以直接定位到该函数。 2。看准该函数的入口,一般函数是以以下代码作为入口点的。 push ebp mov ebp, esp ... 3。然后往下找到该函数的出口,一般函数出口有以下语句。 ... ret xxxx;//其中xxxx就是函数差数的所有的字节数,为4的倍数,xxxx除以4得到的结果 就是参数的个数。 其中参数存放的地方: ebp+08 //第一个参数 ebp+0C //第二个参数 ebp+10 //第三个参数 ebp+14 //第四个参数 ebp+18 //第五个参数 ebp+1C //第六个参数 还有一种经常看到的调用方式: sub esp,xxxx //开头部分 //函数的内容 //函数的内容 add esp,xxxx ret //结尾部分 其中xxxx/4的结果也是参数的个数。 还有一种调用方式: 有于该函数比较简单,没有参数的压栈过程, 里面的 esp+04就是第一个参数 esp+08就是第二个参数 esp+xx就是第xx/4个参数 你说看到的xx的最大数除以4后的结果,就是该函数所传递的参数的个数。 到现在位置,你应该能很清楚的看到了传递的参数的个数。至于传递的是些什么内容,还需要进一步的分析。 最方便的办法就是先找到是什么软件在调用此函数,然后通过调试的技术,找到该函数被调用的地方。一般都是PUSH指令 来实现参数的传递的。这时可以看一下具体是什么东西被压入堆栈了,一般来说,如果参数是整数,一看就可以知道了, 如果是字符串的话也是比较简单的,只要到那个地址上面去看一下就可以了。 如果传递的结构的话,没有很方便的办法解决,就是读懂该汇编就可以了。 使用Microsoft Visual Studio的工具DEPENDS.EXE可以查看动态库的接口函数,可以通过反汇编来知道接口函数的参数,建议使用W32DSM来分析,也可以直接使用VC来分析,就是麻烦一点。 现在使用W32DSM来具体说明: 1。先打开需要分析的DLL,然后通过菜单功能-》出口来找到需要分析的函数,双击就可以了。 它可以直接定位到该函数。 2。看准该函数的入口,一般函数是以以下代码作为入口点的。 push ebp mov ebp, esp ... 3。然后往下找到该函数的出口,一般函数出口有以下语句。 ... ret xxxx;//其中xxxx就是函数差数的所有的字节数,为4的倍数,xxxx除以4得到的结果 就是参数的个数。 其中参数存放的地方: ebp+08 //第一个参数 ebp+0C //第二个参数 ebp+10 //第三个参数 ebp+14 //第四个参数 ebp+18 //第五个参数 ebp+1C //第六个参数 还有一种经常看到的调用方式: sub esp,xxxx //开头部分 //函数的内容 //函数的内容 add esp,xxxx ret //结尾部分 其中xxxx/4的结果也是参数的个数。 还有一种调用方式: 有于该函数比较简单,没有参数的压栈过程, 里面的 esp+04就是第一个参数 esp+08就是第二个参数 esp+xx就是第xx/4个参数 你说看到的xx的最大数除以4后的结果,就是该函数所传递的参数的个数。 到现在位置,你应该能很清楚的看到了传递的参数的个数。至于传递的是些什么内容,还需要进一步的分析。 最方便的办法就是先找到是什么软件在调用此函数,然后通过调试的技术,找到该函数被调用的地方。一般都是PUSH指令 来实现参数的传递的。这时可以看一下具体是什么东西被压入堆栈了,一般来说,如果参数是整数,一看就可以知道了, 如果是字符串的话也是比较简单的,只要到那个地址上面去看一下就可以了。 如果传递的结构的话,没有很方便的办法解决,就是读懂该汇编就可以了。 使用VisualBasic提供的LINK程序的/DUMP选项 要的是动态的哦只要知道dll名,函数地址, 就能通过编程获取参数个数才是正确的答案 哪里有vb帮助文件下载 VB也会发生内存泄漏吗? 怎样让GIF动画在From中动起来呀? 请教: 如何判断一个指定的窗体是否被出于被激活状态(即有焦点输入)? 用VB编监控软件,有几个问题请教一下?谢谢! vb richtextbox中 替换的代码怎么写 问几个关于定义ICD的问题 为什么会这样呢? 磁盘文件输入问题 怎样在DATA数据源中筛选数据? 谁有wininet.dll的相关资料? 如何获取机器上有几块网卡,并取得每快网卡的网段,急!
现在使用W32DSM来具体说明:
1。先打开需要分析的DLL,然后通过菜单功能-》出口来找到需要分析的函数,双击就可以了。
它可以直接定位到该函数。
2。看准该函数的入口,一般函数是以以下代码作为入口点的。
push ebp
mov ebp, esp
...
3。然后往下找到该函数的出口,一般函数出口有以下语句。
...
ret xxxx;//其中xxxx就是函数差数的所有的字节数,为4的倍数,xxxx除以4得到的结果
就是参数的个数。
其中参数存放的地方:
ebp+08 //第一个参数
ebp+0C //第二个参数
ebp+10 //第三个参数
ebp+14 //第四个参数
ebp+18 //第五个参数
ebp+1C //第六个参数 还有一种经常看到的调用方式:
sub esp,xxxx //开头部分
//函数的内容
//函数的内容
add esp,xxxx
ret //结尾部分
其中xxxx/4的结果也是参数的个数。 还有一种调用方式:
有于该函数比较简单,没有参数的压栈过程,
里面的
esp+04就是第一个参数
esp+08就是第二个参数
esp+xx就是第xx/4个参数
你说看到的xx的最大数除以4后的结果,就是该函数所传递的参数的个数。 到现在位置,你应该能很清楚的看到了传递的参数的个数。至于传递的是些什么内容,还需要进一步的分析。
最方便的办法就是先找到是什么软件在调用此函数,然后通过调试的技术,找到该函数被调用的地方。一般都是PUSH指令
来实现参数的传递的。这时可以看一下具体是什么东西被压入堆栈了,一般来说,如果参数是整数,一看就可以知道了,
如果是字符串的话也是比较简单的,只要到那个地址上面去看一下就可以了。
如果传递的结构的话,没有很方便的办法解决,就是读懂该汇编就可以了。
现在使用W32DSM来具体说明:
1。先打开需要分析的DLL,然后通过菜单功能-》出口来找到需要分析的函数,双击就可以了。
它可以直接定位到该函数。
2。看准该函数的入口,一般函数是以以下代码作为入口点的。
push ebp
mov ebp, esp
...
3。然后往下找到该函数的出口,一般函数出口有以下语句。
...
ret xxxx;//其中xxxx就是函数差数的所有的字节数,为4的倍数,xxxx除以4得到的结果
就是参数的个数。
其中参数存放的地方:
ebp+08 //第一个参数
ebp+0C //第二个参数
ebp+10 //第三个参数
ebp+14 //第四个参数
ebp+18 //第五个参数
ebp+1C //第六个参数 还有一种经常看到的调用方式:
sub esp,xxxx //开头部分
//函数的内容
//函数的内容
add esp,xxxx
ret //结尾部分
其中xxxx/4的结果也是参数的个数。 还有一种调用方式:
有于该函数比较简单,没有参数的压栈过程,
里面的
esp+04就是第一个参数
esp+08就是第二个参数
esp+xx就是第xx/4个参数
你说看到的xx的最大数除以4后的结果,就是该函数所传递的参数的个数。 到现在位置,你应该能很清楚的看到了传递的参数的个数。至于传递的是些什么内容,还需要进一步的分析。
最方便的办法就是先找到是什么软件在调用此函数,然后通过调试的技术,找到该函数被调用的地方。一般都是PUSH指令
来实现参数的传递的。这时可以看一下具体是什么东西被压入堆栈了,一般来说,如果参数是整数,一看就可以知道了,
如果是字符串的话也是比较简单的,只要到那个地址上面去看一下就可以了。
如果传递的结构的话,没有很方便的办法解决,就是读懂该汇编就可以了。
只要知道dll名,函数地址, 就能通过编程获取参数个数才是正确的答案