如果程序用ADVAPI32.dll的注册表函数,拦截一般都没有问题。
但是我对边锋的asdegame.exe,,用APIS32.exe查看是用AVDAPI32.dll的,可是居然拦截不到,用Regmon.exe是可以的。而边锋里的double.exe是没有用AVDAPI32.dll的,当然我也拦截不到了,可是Regmonexe也报告说double.exe也有注册表操作,真的是奇怪了。难道注册表操作的函数出了ADVAPI32。dll里的除外,还有其它的?
请大侠指点迷津~~~~
11 个解决方案
#1
一群强人。
#2
我来学习一下。
#3
各位大侠,请回答问题,ok~~~~~~~
不要发表其它的东东!
不要发表其它的东东!
#4
关注
#5
up....
gz.
gz.
#6
边锋里的double.exe 是不是16位的.
#7
to-》3jaja
怎么判断double.exe是16位?
如果是16位,截获是否和32位的方法一样呢?
怎么判断double.exe是16位?
如果是16位,截获是否和32位的方法一样呢?
#8
判断是否是16位:Depends这个你用过吧,用它来打开double.exe看看。如果是32位的就能看到它调用的DLL。16位的不行。
#9
试试这个吧,在9X下基本上可以,在NT/2K下100%拦截。如果没有拦到,基本上可以认为
没有调用吧。
自动调试监视器。
http://liangs99.myetang.com/pengchunhua/debugapispy.zip
没有调用吧。
自动调试监视器。
http://liangs99.myetang.com/pengchunhua/debugapispy.zip
#10
谢谢各位大侠,我试试看。
各位还有什么好的建议?
各位还有什么好的建议?
#11
还有一种可能就是动态链接的别的库,由别的库调用的注册表而不是主程序调用的。
用IAT就有这个问题,要将所有内存中的模块的调用都找到并替换才行
用IAT就有这个问题,要将所有内存中的模块的调用都找到并替换才行
#1
一群强人。
#2
我来学习一下。
#3
各位大侠,请回答问题,ok~~~~~~~
不要发表其它的东东!
不要发表其它的东东!
#4
关注
#5
up....
gz.
gz.
#6
边锋里的double.exe 是不是16位的.
#7
to-》3jaja
怎么判断double.exe是16位?
如果是16位,截获是否和32位的方法一样呢?
怎么判断double.exe是16位?
如果是16位,截获是否和32位的方法一样呢?
#8
判断是否是16位:Depends这个你用过吧,用它来打开double.exe看看。如果是32位的就能看到它调用的DLL。16位的不行。
#9
试试这个吧,在9X下基本上可以,在NT/2K下100%拦截。如果没有拦到,基本上可以认为
没有调用吧。
自动调试监视器。
http://liangs99.myetang.com/pengchunhua/debugapispy.zip
没有调用吧。
自动调试监视器。
http://liangs99.myetang.com/pengchunhua/debugapispy.zip
#10
谢谢各位大侠,我试试看。
各位还有什么好的建议?
各位还有什么好的建议?
#11
还有一种可能就是动态链接的别的库,由别的库调用的注册表而不是主程序调用的。
用IAT就有这个问题,要将所有内存中的模块的调用都找到并替换才行
用IAT就有这个问题,要将所有内存中的模块的调用都找到并替换才行