WinAPI学习 - PostMessage、RtlFreeHeap、PeekMessage、GetTickCount()

今天逆向，遇到这些函数，大概搜查了些资料，大概如下。

1、PostMessage

函数原型：B00L PostMessage（HWND hWnd，UINT Msg，WPARAM wParam，LPARAM lParam）；

这个函数大概将一个消息放入（寄送）到与指定窗口创建的线程相联系消息队列里，不等待线程处理消息就返回，是异步消息模式。消息队列里的消息通过调用GetMessage和PeekMessage取得。

因此暂时理解为一个异步的投送消息函数。

2、RtlFreeHeap

由函数名大概可以看出这是个释放堆内存函数，查阅到资料是接收一个PVOID类型参数即可。至于释放大小，由内存的管理头获取到。（NT内核中，每次内存分配的时候比实际内存要多点，多出来的就是该内存的管理头。free函数也是从这个管理头里面读出内存大小的。RtlFreeHeap函数接收到用户内存的地址后，做的第一件事情就是将地址往前移8字节，指到内存块的管理头BusyBlock。然后检查内存的完整性，比如有没有溢出之类，具体是检查BusyBlock地址的末3位，因为堆申请是以8字节为单位的，所以末3位一定都是0，否则就是被破坏了，需要理解抛异常通知进程。实际的溢出检测比这个复杂多，暂时还不懂。）

3、PeekMessage

GetMessage 不将控制返回给程序，直到从程序的消息队列中获取消息，但是 PeekMessage 总是立刻返回，而不论一个消息是否出现。当（应用程序的）消息队列中有一个消息时，PeekMessage 的返回值为 TRUE(非0)，并且将按通常方式处理消息。当队列中没有消息时，PeekMessage 返回 FALSE(0)。

所以暂时理解为异步的接收消息函数。

4、GetTickCount

这个函数比较简单，返回开机以来的毫秒数，DWORD类型。可用来Anti-debug。