增刊第八期

EBPIG	探索杂志	HJQDM

	知识共享资源共享资料共享

【制作成员】程式猎人

【发行时间】2000-8-30

【期刊号码】增刊八

【网站地址】http://programhunter.go.163.com

【编辑寄语】

    
    {~._.~} 
     ( Y )  
    ()~*~() 
    (_)-(_)

�我想对于解密者来说，如何更好的掌握破解这门技术呢？光努力学习是不够的，还要不断学习很多关于破解方面的知识，这个可能就是我们解密者的兴趣之处吧。那么你现在已经掌握了如何使用SI或TRW后，你还要学些什么呢？你要学的就是今天我要向大家介绍的，它就是windows API函数，如果你能够很好的掌握了这些函数，那么你的破解水平就已经上了一个很高的水平了。好了，不多说了，开始介绍了。今天这些内容多数取于看雪的教学中，在这里向看雪表示感谢。

【目 �� 录】

��&破解心得
	1……限制程序功能函数
	2……对话框函数
	3……磁盘处理函数
	4……文件处理函数
	5……注册表处理函数
	6……时间处理函数
	7……进程函数
	8……其它中断
��%初学天地
��O问题答疑
��4网站介绍
��,杂志信箱

&【破解心得】

1、限制程序功能函数

 EnableMenuItem 允许、禁止或变灰指定的菜单条目
 EnableWindow 允许或禁止鼠标和键盘控制指定窗口和条目（禁止时菜单变灰）

　2、对话框函数

CreateDialog 从资源模板建立一非模态对话窗 
CreateDialogParam  从资源模板建立一非模态对话窗 
CreateDialogIndirect  从内存模板建立一非模态对话窗 
CreateDialogIndirectParam 从内存模板建立一非模态对话窗 
  
DialogBox  从资源模板建立一模态对话窗 
DialogBoxParam  从资源模板建立一模态对话窗 
DialogBoxIndirect 从内存模板建立一模态对话窗 
DialogBoxIndirectParam 从内存模板建立一模态对话窗 
EndDialog 结束一模态对话窗 
  
MessageBox  显示一信息对话框 
MessageBoxEx  显示一信息对话框 
MessageBoxIndirect 显示一定制信息对话框 
  
GetDlgItemInt  得指定输入框整数值 
GetDlgItemText 得指定输入框输入字符串 
GetDlgItemTextA  得指定输入框输入字符串 
Hmemcpy  内存复制 （非应用程序直接调用）

3、磁盘处理函数

GetDiskFreeSpaceA 获取与一个磁盘的组织有关的信息，以及了解剩余空间的容量 
GetDiskFreeSpaceExA 获取与一个磁盘的组织以及剩余空间容量有关的信息 
GetDriveTypeA  判断一个磁盘驱动器的类型
     GetDriveType Return Function codes:

     Value               Meaning
     0                 Drive Cannot Be determined
     1                 Root Dir Does not exist
     2                 DriveRemoveable
     3                 A Fixed Disk (HardDrive)  
     4                 Remote Drive(Network)
     5                 Cd-Rom Drive
     6                 RamDisk

GetLogicalDrives  判断系统中存在哪些逻辑驱动器字母 
GetFullPathNameA 获取指定文件的详细路径 
GetVolumeInformationA  获取与一个磁盘卷有关的信息 
GetWindowsDirectoryA 获取Windows目录的完整路径名 
GetSystemDirectoryA 取得Windows系统目录（即System目录）的完整路径名

4、文件处理函数

CreateFileA 打开和创建文件、管道、邮槽、通信服务、设备以及控制台  
OpenFile 这个函数能执行大量不同的文件操作 
ReadFile 从文件中读出数据  
ReadFileEx 与ReadFile相似，只是它只能用于异步读操作，并包含了一个完整的回调 
WriteFile 将数据写入一个文件 
WriteFileEx  与WriteFile类似，只是它只能用于异步写操作，并包括了一个完整的回调  
SetFilePointer 在一个文件中设置当前的读写位置  
SetEndOfFile 针对一个打开的文件，将当前文件位置设为文件末尾  
CloseHandle  关闭一个内核对象。其中包括文件、文件映射、进程、线程、安全和同步对象等  
  
_lcreat 创建一个文件 
_lopen 以二进制模式打开指定的文件 
_lread 将文件中的数据读入内存缓冲区 
_lwrite  将数据从内存缓冲区写入一个文件 
_llseek 设置文件中进行读写的当前位置  
_lclose 关闭指定的文件 
_hread  将文件中的数据读入内存缓冲区 
_hwrite 将数据从内存缓冲区写入一个文件 
  
OpenFileMappingA 打开一个现成的文件映射对象 
CreateFileMappingA 创建一个新的文件映射对象 
MapViewOfFile 将一个文件映射对象映射到当前应用程序的地址空间 
MapViewOfFileEx  （内容同上） 
  
CreateDirectoryA 创建一个新目录 
CreateDirectoryExA 创建一个新目录 
RemoveDirectoryA 删除指定目录 
SetCurrentDirectoryA 设置当前目录 
  
MoveFileA 移动文件 
DeleteFileA 删除指定文件  
CopyFileA 复制文件  
CompareFileTime 对比两个文件的时间 
SetFileAttributesA 设置文件属性  
SetFileTime 设置文件的创建、访问及上次修改时间 
FindFirstFileA 根据文件名查找文件  
FindNextFileA 根据调用FindFirstFile函数时指定的一个文件名查找下一个文件  
FindClose 关闭由FindFirstFile函数创建的一个搜索句柄 
SearchPathA 查找指定文件  
  
GetBinaryTypeA 判断文件是否可以执行 
GetFileAttributesA  判断指定文件的属性  
GetFileSize 判断文件长度 
GetFileTime 取得指定文件的时间信息 
GetFileType  在给出文件句柄的前提下，判断文件类型

5、注册表处理函数

RegOpenKeyA  打开一个现有的注册表项 
RegOpenKeyExA  打开一个现有的注册表项 
RegCreateKeyA 在指定的项下创建或打开一个项 
RegCreateKeyExA 在指定项下创建新项的更复杂的方式 
RegDeleteKeyA 删除现有项下方一个指定的子项 
RegDeleteValueA 删除指定项下方的一个值 
RegQueryValueA 获取一个项的设置值 
RegQueryValueExA 获取一个项的设置值 
RegSetValueA 设置指定项或子项的值  
RegSetValueExA 设置指定项的值 
RegCloseKey 关闭系统注册表中的一个项（或键）

6、时间处理函数

CompareFileTime  比较两文件时间 
GetFileTime 得文件建立，最后访问，修改时间 
GetLocalTime 得当前本地时间 
GetSystemTime 得当前系统时间 
GetTickCount 得windows启动至现时毫秒 
SetFileTime 设置文件时间 
SetLocalTime 设置本地时间 
SetSystemTime 设置系统时间

7、进程函数

CreateProcessA  创建一个新进程 
ExitProcess 以干净的方式关闭一个进程  
FindExecutableA 查找与一个指定文件关联在一起的程序的文件名 
FreeLibray 释放指定的动态链库 
GetCurrentProcess 获取当前进程的一个伪句柄 
GetCurrentProcessId 获取当前进程一个唯一的标识符 
GetCurrentThread 获取当前线程的一个伪句柄  
GetExitCodeProces 获取一个已结束进程的退出代码 
GetExitCodeThread 获取一个已结束线程的退出代码 
GetModuleHandleA  获取一个应用程序或动态链接库的模块句柄 
GetPriorityClassA 获取特定进程的优先级别 
LoadLibraryA  载入指定的动态链接库，并将它映射到当前进程使用的地址空间 
LoadLibraryExA 装载指定的动态链接库，并为当前进程把它映射到地址空间  
LoadModule  载入一个windows应用程序，并在指定的环境中运行  
TerminateProcess 结束一个进程

Some other nice breakpoints from the ORC
-----------------------------------------------

BOZOSLIVEHERE
HMEMCPY
GLOBALGETATOMNAME

message breaks, not quite the same but completely useful
-----------------------------------------------------------

BMSG xxxx WM_GETTEXT   (good for passwords)
BMSG xxxx WM_COMMAND   (good fro OK buttons)

%【初学天地】

O【问题答疑】

4【网站介绍】

,【杂志信箱】

投稿信箱：discoveredit@china.com

答疑信箱：discoveranswer@china.com

斑竹信箱：programhunter@china.com