0047460F . E8 B8460100 call 00488CCC
在这个CALL里 你可以拦截到所有机器码计算信息获取过程
这个CALL里边的代码如下
00488CCC /$ 55 push ebp
00488CCD |. 8BEC mov ebp,esp
00488CCF |. 56 push esi
00488CD0 |. 57 push edi
00488CD1 |. 8B7D 08 mov edi,[arg.1]
00488CD4 |. 8BC7 mov eax,edi
00488CD6 |. 8B75 0C mov esi,[arg.2]
00488CD9 |. 8B4D 10 mov ecx,[arg.3]
00488CDC |. 8BD1 mov edx,ecx
00488CDE |. D1E9 shr ecx,1
00488CE0 |. D1E9 shr ecx,1
00488CE2 |. FC cld
00488CE3 |. F3:A5 rep movs dword ptr es:[edi],dword ptr ds>
00488CE5 |. 8BCA mov ecx,edx
00488CE7 |. 83E1 03 and ecx,0x3
00488CEA |. F3:A4 rep movs byte ptr es:[edi],byte ptr ds:[>
00488CEC |. 5F pop edi
00488CED |. 5E pop esi
00488CEE |. 5D pop ebp
00488CEF \. C3 retn
是传输数据的地方,C++的程序好象很容易见到,通过监视这里,或者你静态查找调用这里的代码,机器码的计算代码就可以通过这里找到,然后就不用说了吧
具体的我发现天狼星至少调用了CPU 硬盘序列 和网卡MAC
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)