水滴逆向学习笔记

远程注入

LoadLibrary 加载DLL

createRemoteThread 创建在另一个进程的虚拟地址空间中运行的线程，并选择性地指定扩展属性

virtualAllocEx  在指定进程的虚拟地址空间中保留、提交或更改内存区域的状态。 该函数初始化它分配给零的内存，返回值是页面分配区域的基址。

FreeLibrary 释放DLL

OpenProcess 读取进程句柄

VirtualProtectEx 改写页保护

ReadProcessMemory 读取内存

WriteProcessMemory 写入内存

.等待线程

waitforsingleobject

waitformultipleobjects

.关于句柄和窗口

HINSTANCE是应用程序实例句柄，

HWND是窗口对象句柄，

HANDLE是任意对象的句柄，

CWnd是MFC中的窗口类。

ntdll.NtCurrentTeb() 函数用来返回当前线程的TEB结构体指针

破解keyfile 用到的api

findfirstfileA  确定注册文件是否存在

createfileA 、_lopen 确定文件是否存在；并打开文件以获得句柄

GetFileSize 、 GetFileSizeEx  获得注册文件大小

GetFileAttributesA、GetFileAttributesExA 获得注册文件的属性

SetFilePointer 、 SetFilePointerEx 移动文件指针

ReadFile 读取文件内容

灰色按钮，禁用菜单

EnableMenultem

EnableWindow

EnableMenu

警告窗口

MessageBoxA 、MessageBoxExA、DialogBoxParamA(W)、ShowWindow、CreateWindowExA(W)

这些函数都有一个回调参数 ，回调到执行函数处是个关键破解点

计时器

SetTimer 计时断点触发的回调处理函数就是关键破解点

GetTickCount

timeGetTime