AIS3 180730 === ###### tags: `AIS3` `筆記` - x32dbg: ctrl+G 跳到指定記憶體位置 - 組語的 pointer 敘述中, 最多只能用到兩個暫存器, 兩暫存器間的運算子只能用 + , 乘號只能使用1, 2, 4, 8 ``` mov dword ptr [eax + ebx + ecx], 87 // Error: 用到三個暫存器 mov dword ptr [eax + ebx + ebx], 87 // Error: 用到三個暫存器 mov dword ptr [eax - ebx], 87 // Error: 暫存器之間只能用運算子 + mov dword ptr [eax + ebx * 0x3], 87 // Error: 乘號限制 ``` - cl: VS2017 的 C Compiler - pushf & popf - IDA 對字串按 x 可找到引用此字串的地方 ## Function Call - stdcall ret 8 的意思等同於 ret; pop; pop; - 64bits Windows 參數依序放入 RCX RDX R8 R9, 超過 4 個就逆序放堆疊 call 那方負責清除堆疊 ## Windows API - PtInRect - IntersectRect - OpenProcess - WriteProcessMemory - ReadProcessMemory ## ??? HaRepacker odinms