魔恩：亲爱的VIP学员，请到此写下你学习的感受与发布作品截图……

97386326

今天开始加入魔鬼作坊这个大家庭了~！观察了好多天觉得还是这里适合学习，希望几个月几年后看到这条回复的时候我已经出师了，期待ING~

dododz

求魔鬼币。 我会努力写出作品上传的 谢谢！！！！

小学桐

:P同求魔鬼币，正在勤奋学习中。。

q546948562

已经加入魔鬼作坊，正在努力学习中。。

wang3389

基础学习完毕，明天开始正式学习  求魔鬼币:D:D

吾将带头装B

已经加入魔鬼作坊，正在努力学习中。。以后会补上作业

2727402031

1.大家好 我是最近才进入咱们这个大家庭的  我的网名叫海风  吉林人  现在从事电脑行业
2.我是这个新手  


这是我今天根据老师的教程找到的 关闭NCP CALL  找的有点不一样所以发上来 让大家看看  不多说了 我把我的学习笔记发上来   有一个地方我不太明白 没遇到过  我在其中一个子程序头部下断点 反回以后 上面不是下断点的这个Call  而这个Call之前我没注意到 没有进入找ECX的来源 而是直接往上去了  所以数据就不一样了 断了  苦恼了二天  最后发现这个Call不是我反回的那个子程序!进入以后 有ECX的来源  一会下面有图大家可以看!   
     




关闭NCP CALL
OD 特征码: 下面这个Call就是
CALL DWORD PTR DS:[EAX+4]
MOV EBX,DWORD PTR SS:[ESP+10]
MOV ESI,EAX
MOV ECX,DWORD PTR DS:[ESI+4]
PUSH EBX  
PUSH ECX
MOV ECX,EDI  


二进码: FF 50 04 8B 5C 24 10 8B F0 8B 4E 04 53 51 8B CF




CE找出的结果    有对话框搜索字节型 1   关闭对话框后选字节型 0
00490278 - 88 81 FD130000  - mov [ecx+000013FD],al <<
00970BBA - C6 46 7F 00 - mov byte ptr [esi+7F],00 <<


        这个是间接Call  不用
00975B7F  |.  57            PUSH EDI                      EDI=2A5D7A6C, (ASCII "IDCANCEL")
00975B80  |.  03C8          ADD ECX,EAX                   EAX=1D59DD08   ECX=0
00975B82  |.  FF56 10       CALL DWORD PTR DS:[ESI+10]    关闭对话框Call DS:[00DA7618]=005EE270   esi=00DA7608


        用这个CAll
CALL DWORD PTR DS:[EAX+4]            这里有EAX的值
MOV EBX,DWORD PTR SS:[ESP+10]
MOV ESI,EAX
MOV ECX,DWORD PTR DS:[ESI+4]=[00C1BA28+4]    MOV ECX,DWORD PTR DS:[ESI+4] MOV EAX,00C1BA28+4=00C1BA2C
PUSH EBX                                ;  这个是字符串   004EF452      PUSH 00CF0FB8    ;  ASCII "IDCANCEL"
PUSH ECX                                ;  00C1BA28+4=00C1BA2C   
MOV ECX,EDI                             ;  EDI=dd [[[[[[[0D996A0]+1C]+C]+8]+26C]+220]+10]
CALL elementc.009796A0                                 ;  关闭对话框Call    4月21号更新


先找EBX的来源 是字符串   IDCANCEL 就是退出 关闭的意思 可以自己申请内存
找ECX [esi+4]的来源   ESI=ESI,EAX         MOV EAX,00C17878
所以ECX=[00C17878+4]               
MOV ECX,EDI                                                 :[EDI+26C]+0


dd [[[[[[[0D996A0]+1C]+C]+8]+26C]+220]+10]  
push 00CF0FB8
mov eax,00C1BA28
mov esi,eax
mov ecx,[esi+4]
push ecx
mov ecx,[0D996A0]
mov ecx,[ecx+1c]
mov ecx,[ecx+0C]
mov ecx,[ecx+8]
mov ecx,[ecx+26C]
mov ecx,[ecx+220]
mov ecx,[ecx+10]
call 009796A0



1D778798  00C1BA3C  elementc.00C1BA3C

Code :00973730 - 8b 16 - mov edx,[esi]
Code :00973730 - 8b 16 - mov edx,[esi]
Code :00979665 - 8b 07 - mov eax,[edi]
Code :009bb6cb - 8b 11 - mov edx,[ecx]----------------------------------用这条找
Code :005f09d4 - 8b 06 - mov eax,[esi]////////////
Code :0095c565 - 8b 01 - mov eax,[ecx]==========
Code :009747ed - 8b 16 - mov edx,[esi]


009BB6CB   .  8B11          MOV EDX,DWORD PTR DS:[ECX]     [ECX]=1DEF9690
009BB6C8   .  8B4E 10       MOV ECX,DWORD PTR DS:[ESI+10]  [EXI+10]=1DEF9690  ESI=  0274A860
009BB6A6   .  8BF1          MOV ESI,ECX                      ECX=0274A860
005F09BA  |.  8B8E 20020000 MOV ECX,DWORD PTR DS:[ESI+220]  DS:[1DEFC8B0]=0274A860  ESI=1DEF9690
005F09B3  |.  8BF1          MOV ESI,ECX
00979710  |.  03C8          ADD ECX,EAX         EAX=1DEF9690
0097970B  |.  8B4424 08     MOV EAX,DWORD PTR SS:[ESP+8]
009796C0  |.  894C24 08     MOV DWORD PTR SS:[ESP+8],ECX        ECX=1DEF9690
00979675  |.  8BCF          |MOV ECX,EDI           ;  EDI=1DEF9690
00979663  |.  8BF9          MOV EDI,ECX                ECX=1DEF9690
0095D360  /$  8B4C24 08     MOV ECX,DWORD PTR SS:[ESP+8]     ;  堆栈 SS:[0012F1C8]=1DEF9690
006C92F6   .  8B7424 10     MOV ESI,DWORD PTR SS:[ESP+10]                ]=1DEF9690
00973384  |.  53            PUSH EBX       ]=1DEF9690
009732E7  |.  8BD9          MOV EBX,ECX ]=1DEF9690
00973733  |.  8BCE          MOV ECX,ESI 1DEF9690


009733A6  |.  8BF1          MOV ESI,ECX        1D7F9690
0095D44C  |.  8B8D 6C020000 MOV ECX,DWORD PTR SS:[EBP+26C]   SS:[1E541A34]=1D7F9690 EBP=1E5417C8
0095D3CE  |.  8BE9          MOV EBP,ECX
006C86FB   .  8BCE          MOV ECX,ESI=1E5417C8
006C84AE   .  8BF1          MOV ESI,ECX        =1E5417C8  重点在这里 在它的子程序头部下断后再来到了一个Call的下面 进入这个Call 才得到

ECX=1E5417C8 里面有ECX的来源  
                        0044807C  |.  E8 8FFA2A00   CALL elementc.006F7B10  
                        00448081  |.  84C0          TEST AL,AL        反回到这里






006F7B10  /$  8B49 08       MOV ECX,DWORD PTR DS:[ECX+8]=1E5417C8  ECX=0C9BDF20
00448076  |> \8B4B 0C       MOV ECX,DWORD PTR DS:[EBX+C]=0C9BDF20  EBX=01E80550
00447EC1  |.  8BD9          MOV EBX,ECX
0043BE99  |.  8BCB          MOV ECX,EBX                EBX=01E80550
0043BE84  |> \8B5B 1C       MOV EBX,DWORD PTR DS:[EBX+1C] :[00D9D3B4]=01E80550, EBX=00D9D398 ()         
0043B65C  |.  8BD9          MOV EBX,ECX
0045749E   .  8B0D A096D900 MOV ECX,DWORD PTR DS:[0D996A0]     
push 00CF0FB8
mov edx,0C1ba28
add edx,4
mov edx,[edx]
push edx
mov ecx,[0D996A0]
mov ecx,[ecx+1c]
mov ecx,[ecx+0C]
mov ecx,[ecx+8]
mov ecx,[ecx+26C]
mov ecx,[ecx+220]
mov ecx,[ecx+10]
call 009796A0


两种写法都可以  


push 00CF0FB8
mov eax,00C1BA28
mov esi,eax
mov ecx,[esi+4]
push ecx
mov ecx,[0D996A0]
mov ecx,[ecx+1c]
mov ecx,[ecx+0C]
mov ecx,[ecx+8]
mov ecx,[ecx+26C]
mov ecx,[ecx+220]
mov ecx,[ecx+10]
call 009796A0


004EF452  |.    PUSH 00CF0FB8    ;  ASCII "IDCANCEL"
dd [[[[[[[0D996A0]+1C]+C]+8]+26C]+220]+10]   
这个我后来测试过  后面的220+10不要也可以 但是 用OD找的时候有两个偏移所以我就用着了  不用220]+10]的话也可以用CAll

15239912535

刚加入魔鬼作坊，希望自己变得强大。

zanghaiya

2017.5.7注册加入VIP学习，有一点易语言基础，每天坚持学习4小时以上，希望2个月内写出页游辅助，发帖以鞭策自己，作品后期待补

cfhongchen

1.简单的介绍下自己:网名cfhongchen。河南平顶山人。 我现在在郑州市富士康科技集团工作。
2. 我个人一般无聊的时候喜欢研究乱七八糟的东西，上网，或者打游戏，也算是个宅男，但是在一次偶然的机会认识到了“易语言”全中文编程工具，经过自己的研究和参考百度的教程，下载别人的源码，几年过去了，技术没什么长进。
       自己经常用别人的辅助，然后自己想起了用易语言做辅助，然后在百度看到了某团的免费版教程，讲的乱七八糟的，教程之教你怎么用工具，但是就是不教你工具是怎么编写开发的！要么只给你模块，这样的方式学习让我失去了学习的信心，一次偶然的机会看到了“魔鬼作坊”论坛，看了魔恩的免费教程，觉得讲解的很不错，就是（魔恩声音听着有点难受(╯﹏╰)）希望老师看到这别封我论坛账号！
       咳咳咳言归正传！然后加入了魔鬼作坊的一员，我脑子比较笨，到目前还在反复观看老师们的易语言“VIP·易语言辅助入门基础教程”目前基础课程已经学习完毕了！基础已经是没问题！不过还是需要循环学习，不循环还是会忘记！
       学习遇到问题去“VIP·教程问题售后解答区”发帖说明问题，老师会给你解答思路/原理，但是写代码还是需要各位编写,如果代码都给你们写好了，这样等于什么都没有学会！

         内容的最后，不知道老师会不会看这篇回复，很希望老师出一套API教学的课程！教教我们怎么寻找API，怎么判断API的使用，怎么判断API起到哪些作用！

         学会了老师的基础课程，目前自己虽然对辅助方面不是很懂，但是对一般使用到的软件独立开发基本没什么问题！