[求助]别人的myPsCreateSystemThread代码疑问-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]别人的myPsCreateSystemThread代码疑问

发表于: 2011-6-23 23:18 4743

[求助]别人的myPsCreateSystemThread代码疑问

Second

2011-6-23 23:18

4743

int __stdcall myPsCreateSystemThreadOther(int a1, int a2, int a3, int a4, int a5, int (__stdcall *a6)(int), int a7)
{
  int (__stdcall *v8)(int);
  v8 = a6;
  if ( (unsigned __int8)a6 == 0x2B ||  (unsigned __int8)v8 == 0xF0 )
  {
if ( *(_DWORD *)a6 == 0x8B55FF8B )
{
      //
   }
  }
return jmp_Old_PsCreateSystemThread(a1, a2, a3, a4, a5, a6, a7);
}
不明白这里的0x2B,0xF0,各代表什么意思．
0x8B55FF8B这个我理解为函数的头 mov edi,edi，push ebp
不知道对不对．请大牛指教

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

收藏・0

免费・0

支持

最新回复 (3)
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 2 楼线程入口代码比较 2011-6-24 00:52 0
Second 雪币： 608 活跃值： (91) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 179 粉丝 0 关注私信	Second 1 3 楼谢谢了．．我也觉得是入口函数比较．还是不太确定就问问．好奇他才比较一个字节．．而且这个条件永远不可能成立啊． 2011-6-25 15:47 0
waidao 雪币： 267 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 58 粉丝 0 关注私信	waidao 4 楼当 (UCHAR)a6 == 0x2B 成立或者(UCHAR)v8 == 0xF0 成立只要其中一个条件满足就成立 2011-6-27 17:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Second

发帖

179

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 2 楼线程入口代码比较 2011-6-24 00:52 0
Second 雪币： 608 活跃值： (91) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 179 粉丝 0 关注私信	Second 1 3 楼谢谢了．．我也觉得是入口函数比较．还是不太确定就问问．好奇他才比较一个字节．．而且这个条件永远不可能成立啊． 2011-6-25 15:47 0
waidao 雪币： 267 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 58 粉丝 0 关注私信	waidao 4 楼当 (UCHAR)a6 == 0x2B 成立或者(UCHAR)v8 == 0xF0 成立只要其中一个条件满足就成立 2011-6-27 17:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复