|
请问这样的代码是什么?VM?
多谢前辈指正。相如这种代码,用什么方法分析啊?就是慢慢跟?很长的。后面还有很多JMP。 |
|
请问这样的代码是什么?VM?
你好。这是我在跟踪一段代码,我完整一下。 004D699E 81EC 10040000 SUB ESP,410 004D69A4 A1 94879D00 MOV EAX,DWORD PTR DS:[9D8794] 004D69A9 33C4 XOR EAX,ESP 004D69AB 898424 0C040000 MOV DWORD PTR SS:[ESP+40C],EAX 004D69B2 53 PUSH EBX 004D69B3 55 PUSH EBP 004D69B4 56 PUSH ESI 004D69B5 57 PUSH EDI 004D69B6 A1 94879D00 MOV EAX,DWORD PTR DS:[9D8794] 004D69BB 33C4 XOR EAX,ESP 004D69BD 50 PUSH EAX 004D69BE 8D8424 24040000 LEA EAX,DWORD PTR SS:[ESP+424] 004D69C5 64:A3 00000000 MOV DWORD PTR FS:[0],EAX 004D69CB 8BBC24 34040000 MOV EDI,DWORD PTR SS:[ESP+434] 004D69D2 - E9 A6BBB800 JMP Client.0106257D’这地方JMP 了。 004D69D7 ED IN EAX,DX 004D69D8 00A7 AE335030 ADD BYTE PTR DS:[EDI+305033AE],AH 004D69DE 8427 TEST BYTE PTR DS:[EDI],AH 004D69E0 F74491 E1 F8B12>TEST DWORD PTR DS:[ECX+EDX*4-1F],662BB1F> 004D69E8 6B1E C2 IMUL EBX,DWORD PTR DS:[ESI],-3E 004D69EB 40 INC EAX 004D69EC 27 DAA 004D69ED 92 XCHG EAX,EDX 0106257D 68 BA21A509 PUSH 9A521BA 01062582 ^ E9 D91AF2FF JMP Client.00F84060 ’这又JMP 了 01062587 8F ??? ; 未知命令 01062588 FC CLD 01062589 D0A5 69C0C893 SHL BYTE PTR SS:[EBP+93C8C069],1 0106258F F74421 3A EECBB>TEST DWORD PTR DS:[ECX+3A],69B8CBEE 然后就到这了。我发现很多游戏的代码都这样了啊。不知道这种是不是VM啊。不过看起来好多花指令啊,后面还有好多。。。。不知道这种代码是什么东西啊。 00F84060 9C PUSHFD 00F84061 57 PUSH EDI 00F84062 89E7 MOV EDI,ESP 00F84064 81C7 04000000 ADD EDI,4’花指令 00F8406A 83EF 04 SUB EDI,4’花指令 00F8406D 873C24 XCHG DWORD PTR SS:[ESP],EDI’花指令 00F84070 8B2424 MOV ESP,DWORD PTR SS:[ESP]’花指令 00F84073 893C24 MOV DWORD PTR SS:[ESP],EDI’花指令 00F84076 89E7 MOV EDI,ESP 00F84078 50 PUSH EAX 00F84079 68 82319226 PUSH 26923182 00F8407E 58 POP EAX 00F8407F 0D A84BED4C OR EAX,4CED4BA8 00F84084 2D 670C3250 SUB EAX,50320C67’花指令 00F84089 05 174DE024 ADD EAX,24E04D17’花指令 00F8408E 40 INC EAX’花指令 00F8408F 57 PUSH EDI 00F84090 BF FFFFFFFF MOV EDI,-1 00F84095 01F8 ADD EAX,EDI 00F84097 5F POP EDI 00F84098 57 PUSH EDI 00F84099 BF EA46C569 MOV EDI,69C546EA 00F8409E 4F DEC EDI 00F8409F F7D7 NOT EDI 00F840A1 81F7 B0662757 XOR EDI,572766B0 00F840A7 81EC 04000000 SUB ESP,4 00F840AD 891424 MOV DWORD PTR SS:[ESP],EDX 00F840B0 BA 7F3D6028 MOV EDX,28603D7F 00F840B5 31D7 XOR EDI,EDX 00F840B7 5A POP EDX 00F840B8 F7DF NEG EDI 00F840BA 81F7 A628D74B XOR EDI,4BD728A6 00F840C0 21F8 AND EAX,EDI 00F840C2 8B3C24 MOV EDI,DWORD PTR SS:[ESP] 00F840C5 81C4 04000000 ADD ESP,4 00F840CB 35 04340541 XOR EAX,41053404 00F840D0 01C7 ADD EDI,EAX 00F840D2 58 POP EAX 00F840D3 81EF 04000000 SUB EDI,4 00F840D9 873C24 XCHG DWORD PTR SS:[ESP],EDI 00F840DC 5C POP ESP 00F840DD 890C24 MOV DWORD PTR SS:[ESP],ECX 00F840E0 890424 MOV DWORD PTR SS:[ESP],EAX 00F840E3 55 PUSH EBP 00F840E4 89E5 MOV EBP,ESP 00F840E6 81C5 04000000 ADD EBP,4 00F840EC 83ED 04 SUB EBP,4 00F840EF 872C24 XCHG DWORD PTR SS:[ESP],EBP 00F840F2 5C POP ESP 00F840F3 890C24 MOV DWORD PTR SS:[ESP],ECX 00F840F6 89E1 MOV ECX,ESP 00F840F8 56 PUSH ESI 00F840F9 BE 04000000 MOV ESI,4 00F840FE 01F1 ADD ECX,ESI 00F84100 5E POP ESI 00F84101 52 PUSH EDX 00F84102 68 C758634B PUSH 4B6358C7 00F84107 8B1424 MOV EDX,DWORD PTR SS:[ESP] 00F8410A 83C4 04 ADD ESP,4 00F8410D 81F2 C358634B XOR EDX,4B6358C3 00F84113 81E9 C5006E61 SUB ECX,616E00C5 00F84119 29D1 SUB ECX,EDX 00F8411B 81C1 C5006E61 ADD ECX,616E00C5 00F84121 FF3424 PUSH DWORD PTR SS:[ESP] 00F84124 8B1424 MOV EDX,DWORD PTR SS:[ESP] 00F84127 81C4 04000000 ADD ESP,4 00F8412D 55 PUSH EBP 00F8412E 89E5 MOV EBP,ESP 00F84130 81C5 04000000 ADD EBP,4 00F84136 57 PUSH EDI 00F84137 BF 04000000 MOV EDI,4 00F8413C 01FD ADD EBP,EDI 00F8413E 5F POP EDI 00F8413F 872C24 XCHG DWORD PTR SS:[ESP],EBP 00F84142 5C POP ESP 00F84143 330C24 XOR ECX,DWORD PTR SS:[ESP] 00F84146 310C24 XOR DWORD PTR SS:[ESP],ECX 00F84149 330C24 XOR ECX,DWORD PTR SS:[ESP] 00F8414C 8B2424 MOV ESP,DWORD PTR SS:[ESP] 00F8414F 890C24 MOV DWORD PTR SS:[ESP],ECX 00F84152 68 BD530000 PUSH 53BD 00F84157 891424 MOV DWORD PTR SS:[ESP],EDX 00F8415A 53 PUSH EBX 00F8415B 81EC 04000000 SUB ESP,4 00F84161 892424 MOV DWORD PTR SS:[ESP],ESP 00F84164 830424 04 ADD DWORD PTR SS:[ESP],4 00F84168 5B POP EBX 00F84169 50 PUSH EAX 00F8416A 53 PUSH EBX 00F8416B BB 9D6B733C MOV EBX,3C736B9D 00F84170 81EB 8C1000F2 SUB EBX,F200108C 00F84176 57 PUSH EDI 00F84177 BF 01000000 MOV EDI,1 00F8417C 29FB SUB EBX,EDI 00F8417E 5F POP EDI 00F8417F 81EB FFFFFFFF SUB EBX,-1 00F84185 50 PUSH EAX 00F84186 B8 FC288753 MOV EAX,538728FC 00F8418B 05 A15C9B31 ADD EAX,319B5CA1 00F84190 25 330D5970 AND EAX,70590D33 00F84195 2D F906EA4A SUB EAX,4AEA06F9 00F8419A 48 DEC EAX 00F8419B 0D 7909B403 OR EAX,3B40979 00F841A0 2D 24A2D864 SUB EAX,64D8A224 00F841A5 05 FECB21F9 ADD EAX,F921CBFE 00F841AA 29C3 SUB EBX,EAX 00F841AC 58 POP EAX 00F841AD 51 PUSH ECX 00F841AE B9 5D24BB7F MOV ECX,7FBB245D 00F841B3 F7D1 NOT ECX 00F841B5 C1E9 03 SHR ECX,3 00F841B8 81C1 17A1DD59 ADD ECX,59DDA117 00F841BE 09CB OR EBX,ECX 00F841C0 59 POP ECX 00F841C1 81EB 15659423 SUB EBX,23946515 00F841C7 81EB A2D861DC SUB EBX,DC61D8A2 00F841CD 53 PUSH EBX 00F841CE 812C24 2D349F4C SUB DWORD PTR SS:[ESP],4C9F342D 00F841D5 58 POP EAX 00F841D6 05 2D349F4C ADD EAX,4C9F342D 00F841DB 5B POP EBX 00F841DC 01C3 ADD EBX,EAX 00F841DE 58 POP EAX 00F841DF 81EB 04000000 SUB EBX,4 |
|
[求助]弄读取ntoskrnl.exe恢复ssdt时本来想偷个懒。。结果蓝屏无数次。。发帖求助一下。。
这两天我也在弄这个。看到别人说了,顺便给你回一句。 蓝屏的原因是,你搜索的时候内核中的一些INIT的内存在用完之后,已经交换出去了??(好像是这样吧,我刚学,小白一个)然后,在你读取的时候,就会发生缺页异常。 所以你读取的时候就bsod了。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值