[求助]小弟在看天草老师视频时的疑惑-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]小弟在看天草老师视频时的疑惑

发表于: 2010-6-9 23:15 9320

[求助]小弟在看天草老师视频时的疑惑

yxjokok

2010-6-9 23:15

9320

在看天草老师第6课时，脱PECompact 2.55壳时，看到开始时有一段代码
01001000 >  B8 90BA0101    mov    eax, 0101BA90
01001005 50             push eax
01001006 64:FF35 0000000>push dword ptr fs:[0]
0100100D 64:8925 0000000>mov    dword ptr fs:[0], esp
01001014 33C0          xor    eax, eax
01001016 8908          mov    dword ptr [eax], ecx    在执行这后就会跳转到别的地方去了不知道为什么会跳转难道mov也能用来跳转，我只知道mov是用来赋值的  王爽老师的那本书说的

给你们附件看看希望知道的回答我下

[课程]Android-CTF解题方法汇总！

上传的附件：

PECompact 2.55.rar （33.87kb，25次下载）

收藏・1

免费・0

支持

最新回复 (17)
bboyiori 雪币： 14 活跃值： (240) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 62 粉丝 1 关注私信	bboyiori 1 2 楼异常了~，所以跳了~ 2010-6-9 23:22 0
yxjokok 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 22 粉丝 0 关注私信	yxjokok 3 楼能具体说说吗？我看到ecx=0006FFB0 ds:[00000000]=??? 能给我点资料吗？ 2010-6-9 23:32 0
garyzjq 雪币： 463 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 97 粉丝 0 关注私信	garyzjq 4 楼就是因为对地址为0的内存进行写操作，所以产生异常，然后再利用异常捕获机制进行一些检查OD之类的处理，这也是一种利用异常达到反调试目的的技术，我貌似是在<反调试技术>里看到过。。。 2010-6-10 01:04 0
风随雨行雪币： 2523 活跃值： (520) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 5 楼 SEH机制 mov dword ptr [eax], ecx 这句是用来故意访问0x00000000这个地址来触发一个异常的 0x00000000是被操作系统保护的地址，不能随意访问，随意访问就会触发异常 2010-6-10 09:10 0
冬哥雪币： 678 活跃值： (781) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 77 粉丝 0 关注私信	冬哥 6 楼多搞点教程上来 2010-6-10 09:43 0
RogerWood 雪币： 780 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 247 粉丝 0 关注私信	RogerWood 7 楼楼主注册的好早啊. 顺便问一下,没有调试的时候,程序运行到这会怎样呢?不会异常么? 2010-6-10 09:48 0
周克雷雪币： 238 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 72 粉丝 0 关注私信	周克雷 8 楼我看的时候也碰到过，可能是OD不同的问题，你在那条语句的下面的语句下断，然后shift+f9，我是这样的！！ 2010-6-10 10:35 0
jgaoabc 雪币： 394 活跃值： (131) 能力值： ( LV5，RANK：70 ) 在线值：发帖 9 回帖 57 粉丝 0 关注私信	jgaoabc 1 9 楼程序执行到01001016产生异常，中间会执行前面压入堆栈的0101BA90，0101BA90处主要实现二个功能，一是修改程序异常结束后的第一句（0101BAB3），0101BAB3处会变成mov eax,F101A897，二是修改异常产生处（01001016），变成jmp 0101BAB3，这样异常结束后就会执行0101BAB3。可在第一二句压入堆栈的0101BA90下断，就可以看的很清楚。 2010-6-10 15:14 0
pyq逍遥雪币： 306 活跃值： (153) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 200 粉丝 5 关注私信	pyq逍遥 1 10 楼正解，不过在将发生异常的地址处理的指令修改为JMP xxx时，有个反单步的反调试，双击下T标志就OK了，然后跳到SHELL 做一些解压操作等，最后跳到OEP 。 2010-6-10 17:04 0
yxjokok 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 22 粉丝 0 关注私信	yxjokok 11 楼谢谢459 10 楼的回答，我终于明白了，教程没有什么好的以下是天草老师给我的教程大家觉得可以就下吧这是我哥的号我没注册他不用了 1、不是计算机专业没什么，关键是要坚持下来，我所知道的，很多牛人都不是计算机专业，甚至所学专业跟计算机风马牛不相及 2、基础不好就先看下我在黑鹰做的2套，以及我个人出的3套，http://www.begin09.com/NewsDetails_23.html 3、注意学习态度和学习方法： http://vip.begin09.com/thread-3156-1-1.html http://vip.begin09.com/thread-3001-1-1.html 2010-6-10 21:05 0
jjwy 雪币： 96 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 87 粉丝 0 关注私信	jjwy 12 楼 0101BA90 B8 97A801F1 mov eax,F101A897 0101BA95 8D88 1C120010 lea ecx,dword ptr ds:[eax+1000121C] 0101BA9B 8941 01 mov dword ptr ds:[ecx+1],eax 0101BA9E 8B5424 04 mov edx,dword ptr ss:[esp+4] 0101BAA2 8B52 0C mov edx,dword ptr ds:[edx+C] 0101BAA5 C602 E9 mov byte ptr ds:[edx],0E9 0101BAA8 83C2 05 add edx,5 0101BAAB 2BCA sub ecx,edx 0101BAAD 894A FC mov dword ptr ds:[edx-4],ecx 0101BAB0 33C0 xor eax,eax 0101BAB2 C3 retn 这是异常处理的代码，有高手能详解下上面的汇编代码吗·~ 2010-6-14 17:01 0
jiangyixue 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 30 粉丝 0 关注私信	jiangyixue 13 楼 4楼的朋友我想问下你说的<反调试技术> 是本书名还是什么啊?? 2010-6-15 10:09 0
nqxcwl 雪币： 3935 活跃值： (187) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 198 粉丝 2 关注私信	nqxcwl 14 楼楼主可否发下天草的教程呢？ 2010-6-15 10:32 0
gsl27 雪币： 493 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 84 粉丝 0 关注私信	gsl27 15 楼希望有多点教程 2010-6-21 19:34 0
浪子刀雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	浪子刀 16 楼这个到是没怎么注意 2010-8-4 17:42 0
浪子刀雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	浪子刀 17 楼我的帖子数怎么才1啊？ 2010-8-4 17:42 0
skeay 雪币： 213 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 25 粉丝 0 关注私信	skeay 18 楼要是看雪也出些视频教程就好了以前的ftp服务器不能用了 2010-8-27 20:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

yxjokok

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
bboyiori 雪币： 14 活跃值： (240) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 62 粉丝 1 关注私信	bboyiori 1 2 楼异常了~，所以跳了~ 2010-6-9 23:22 0
yxjokok 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 22 粉丝 0 关注私信	yxjokok 3 楼能具体说说吗？我看到ecx=0006FFB0 ds:[00000000]=??? 能给我点资料吗？ 2010-6-9 23:32 0
garyzjq 雪币： 463 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 97 粉丝 0 关注私信	garyzjq 4 楼就是因为对地址为0的内存进行写操作，所以产生异常，然后再利用异常捕获机制进行一些检查OD之类的处理，这也是一种利用异常达到反调试目的的技术，我貌似是在<反调试技术>里看到过。。。 2010-6-10 01:04 0
风随雨行雪币： 2523 活跃值： (520) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 5 楼 SEH机制 mov dword ptr [eax], ecx 这句是用来故意访问0x00000000这个地址来触发一个异常的 0x00000000是被操作系统保护的地址，不能随意访问，随意访问就会触发异常 2010-6-10 09:10 0
冬哥雪币： 678 活跃值： (781) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 77 粉丝 0 关注私信	冬哥 6 楼多搞点教程上来 2010-6-10 09:43 0
RogerWood 雪币： 780 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 247 粉丝 0 关注私信	RogerWood 7 楼楼主注册的好早啊. 顺便问一下,没有调试的时候,程序运行到这会怎样呢?不会异常么? 2010-6-10 09:48 0
周克雷雪币： 238 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 72 粉丝 0 关注私信	周克雷 8 楼我看的时候也碰到过，可能是OD不同的问题，你在那条语句的下面的语句下断，然后shift+f9，我是这样的！！ 2010-6-10 10:35 0
jgaoabc 雪币： 394 活跃值： (131) 能力值： ( LV5，RANK：70 ) 在线值：发帖 9 回帖 57 粉丝 0 关注私信	jgaoabc 1 9 楼程序执行到01001016产生异常，中间会执行前面压入堆栈的0101BA90，0101BA90处主要实现二个功能，一是修改程序异常结束后的第一句（0101BAB3），0101BAB3处会变成mov eax,F101A897，二是修改异常产生处（01001016），变成jmp 0101BAB3，这样异常结束后就会执行0101BAB3。可在第一二句压入堆栈的0101BA90下断，就可以看的很清楚。 2010-6-10 15:14 0
pyq逍遥雪币： 306 活跃值： (153) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 200 粉丝 5 关注私信	pyq逍遥 1 10 楼正解，不过在将发生异常的地址处理的指令修改为JMP xxx时，有个反单步的反调试，双击下T标志就OK了，然后跳到SHELL 做一些解压操作等，最后跳到OEP 。 2010-6-10 17:04 0
yxjokok 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 22 粉丝 0 关注私信	yxjokok 11 楼谢谢459 10 楼的回答，我终于明白了，教程没有什么好的以下是天草老师给我的教程大家觉得可以就下吧这是我哥的号我没注册他不用了 1、不是计算机专业没什么，关键是要坚持下来，我所知道的，很多牛人都不是计算机专业，甚至所学专业跟计算机风马牛不相及 2、基础不好就先看下我在黑鹰做的2套，以及我个人出的3套，http://www.begin09.com/NewsDetails_23.html 3、注意学习态度和学习方法： http://vip.begin09.com/thread-3156-1-1.html http://vip.begin09.com/thread-3001-1-1.html 2010-6-10 21:05 0
jjwy 雪币： 96 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 87 粉丝 0 关注私信	jjwy 12 楼 0101BA90 B8 97A801F1 mov eax,F101A897 0101BA95 8D88 1C120010 lea ecx,dword ptr ds:[eax+1000121C] 0101BA9B 8941 01 mov dword ptr ds:[ecx+1],eax 0101BA9E 8B5424 04 mov edx,dword ptr ss:[esp+4] 0101BAA2 8B52 0C mov edx,dword ptr ds:[edx+C] 0101BAA5 C602 E9 mov byte ptr ds:[edx],0E9 0101BAA8 83C2 05 add edx,5 0101BAAB 2BCA sub ecx,edx 0101BAAD 894A FC mov dword ptr ds:[edx-4],ecx 0101BAB0 33C0 xor eax,eax 0101BAB2 C3 retn 这是异常处理的代码，有高手能详解下上面的汇编代码吗·~ 2010-6-14 17:01 0
jiangyixue 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 30 粉丝 0 关注私信	jiangyixue 13 楼 4楼的朋友我想问下你说的<反调试技术> 是本书名还是什么啊?? 2010-6-15 10:09 0
nqxcwl 雪币： 3935 活跃值： (187) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 198 粉丝 2 关注私信	nqxcwl 14 楼楼主可否发下天草的教程呢？ 2010-6-15 10:32 0
gsl27 雪币： 493 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 84 粉丝 0 关注私信	gsl27 15 楼希望有多点教程 2010-6-21 19:34 0
浪子刀雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	浪子刀 16 楼这个到是没怎么注意 2010-8-4 17:42 0
浪子刀雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	浪子刀 17 楼我的帖子数怎么才1啊？ 2010-8-4 17:42 0
skeay 雪币： 213 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 25 粉丝 0 关注私信	skeay 18 楼要是看雪也出些视频教程就好了以前的ftp服务器不能用了 2010-8-27 20:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复