博文视点（北京）官方博客

摘要： 任何机器都会有物理上的限制：内存容量、硬盘容量、处理器速度等等，我们需要在这些硬件的限制和性能之间做出取舍，比如内存的读取速度比硬盘快得多，因此内存数据库比硬盘数据库性能好，但是内存为2GB的机器不可能将大小为100GB的数据全部放入内存中，也许内存大小为128GB的机器能够做到，但是数据增加到200GB时就无能为力了。数据不断增长造成单机系统性能不断下降，即使不断提升硬件配置也难以跟上数据的增长速度。然而，当今主流的计算机硬件比较便宜而且可以扩展，现在购置八台8内核、128GB内存的机器比购置一台64内核、TB级别内存的服务器划算得多，而且还可以增加或减少机器来应对将来的变化。这种分布式架构 阅读全文

摘要： 差异分析定位Ring 3保护模块由于保护模块通常会Hook操作系统的原生DLL接口来进行保护，所以可以采用差异比较原生DLL文件和加载到内存中的原生DLL直接的差别来定位Ring 3模块。在分析的过程中，为了防止被Ring 3保护模块发现，暂时可以先把除了自己线程外的其他线程暂停，如图8-14所示。 图8-14 悬挂除自己线程外的其他线程从图8-14中可以看出，除自己线程外，该游戏有58个线程，可以通过SuspendThread()函数悬挂这些线程以便后续的分析（GS的命令就是ste序号）。下面，我们再对3个常用原生DLL——ntdll.dll、kernel32.dll和u... 阅读全文