[求助][求助]算法-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助][求助]算法 0.00雪花

发表于: 2012-2-10 15:12 2880

[旧帖] [求助][求助]算法 0.00雪花

weidaiyong 活跃值

2012-2-10 15:12

2880

006D3C8F    CC          int3
006D3C90  /$  55          push ebp
006D3C91  |.  8BEC       mov    ebp, esp
006D3C93  |.  6A FF       push -1
006D3C95  |.  68 5CBD7000 push 0070BD5C                      ;  SE 处理程序安装
006D3C9A  |.  64:A1 0000000>mov    eax, dword ptr fs:[0]
006D3CA0  |.  50          push eax
006D3CA1  |.  64:8925 00000>mov    dword ptr fs:[0], esp
006D3CA8  |.  83EC 08    sub    esp, 8
006D3CAB  |.  894D EC    mov    dword ptr [ebp-14], ecx
006D3CAE  |.  8B4D EC    mov    ecx, dword ptr [ebp-14]
006D3CB1  |.  83C1 04    add    ecx, 4
006D3CB4  |.  E8 079ED3FF call 0040DAC0
006D3CB9  |.  C745 FC 00000>mov    dword ptr [ebp-4], 0
006D3CC0  |.  C745 F0 00000>mov    dword ptr [ebp-10], 0
006D3CC7  |.  68 48537700 push 00775348                      ; /MutexName = "SETCOMMON"
006D3CCC  |.  6A 00       push 0                               ; |InitialOwner = FALSE
006D3CCE  |.  6A 00       push 0                               ; |pSecurity = NULL
006D3CD0  |.  FF15 3CC27000 call dword ptr [<&KERNEL32.CreateMute>; \CreateMutexA
006D3CD6  |.  8B4D EC    mov    ecx, dword ptr [ebp-14]
006D3CD9  |.  8941 29    mov    dword ptr [ecx+29], eax
006D3CDC  |.  B9 30727700 mov    ecx, 00777230
006D3CE1  |.  E8 BD6CEAFF call 0057A9A3
006D3CE6  |.  8B55 EC    mov    edx, dword ptr [ebp-14]
006D3CE9  |.  A1 50727700 mov    eax, dword ptr [777250]
006D3CEE  |.  8942 2D    mov    dword ptr [edx+2D], eax
006D3CF1  |.  8B4D EC    mov    ecx, dword ptr [ebp-14]
006D3CF4  |.  8B15 54727700 mov    edx, dword ptr [777254]
006D3CFA  |.  8951 31    mov    dword ptr [ecx+31], edx
006D3CFD  |.  8B45 EC    mov    eax, dword ptr [ebp-14]
006D3D00  |.  8B0D 58727700 mov    ecx, dword ptr [777258]
006D3D06  |.  8948 35    mov    dword ptr [eax+35], ecx
006D3D09  |.  8B55 EC    mov    edx, dword ptr [ebp-14]
006D3D0C  |.  A1 5C727700 mov    eax, dword ptr [77725C]
006D3D11  |.  8942 39    mov    dword ptr [edx+39], eax
006D3D14  |.  8B4D EC    mov    ecx, dword ptr [ebp-14]
006D3D17  |.  8B15 60727700 mov    edx, dword ptr [777260]
006D3D1D  |.  8951 3D    mov    dword ptr [ecx+3D], edx
006D3D20  |.  8B45 EC    mov    eax, dword ptr [ebp-14]
006D3D23    8378 2D 00 cmp    dword ptr [eax+2D], 0
006D3D27    74 24       je    short 006D3D4D
006D3D29  |.  8B4D EC    mov    ecx, dword ptr [ebp-14]
006D3D2C    8379 31 00 cmp    dword ptr [ecx+31], 0
006D3D30    74 1B       je    short 006D3D4D
006D3D32  |.  8B55 EC    mov    edx, dword ptr [ebp-14]
006D3D35    837A 35 00 cmp    dword ptr [edx+35], 0
006D3D39    74 12       je    short 006D3D4D
006D3D3B  |.  8B45 EC    mov    eax, dword ptr [ebp-14]
006D3D3E    8378 39 00 cmp    dword ptr [eax+39], 0
006D3D42    74 09       je    short 006D3D4D
006D3D44  |.  8B4D EC    mov    ecx, dword ptr [ebp-14]
006D3D47    8379 3D 00 cmp    dword ptr [ecx+3D], 0
006D3D4B    75 1C       jnz    short 006D3D69
006D3D4D    6A 00       push 0
006D3D4F  |.  6A 00       push 0
006D3D51  |.  68 54537700 push 00775354                      ;  ASCII "Can not new Common memory"
006D3D56  |.  6A 00       push 0
006D3D58    FF15 50CF7000 call dword ptr [<&QSodickDllR.SodickM>;  QSodickD.SodickMessageBox
006D3D5E  |.  83C4 10    add    esp, 10
006D3D61  |.  6A 01       push 1                               ; /status = 1
006D3D63    FF15 2CCE7000 call dword ptr [<&MSVCRT.exit>]    ;  msvcrt.exit
006D3D69  |>  8B55 EC    mov    edx, dword ptr [ebp-14]
006D3D6C  |.  C742 24 00000>mov    dword ptr [edx+24], 0
006D3D73  |.  8B45 EC    mov    eax, dword ptr [ebp-14]
006D3D76  |.  C640 28 00 mov    byte ptr [eax+28], 0
006D3D7A  |.  C745 FC FFFFF>mov    dword ptr [ebp-4], -1
006D3D81  |.  8B45 EC    mov    eax, dword ptr [ebp-14]
006D3D84  |.  8B4D F4    mov    ecx, dword ptr [ebp-C]
006D3D87  |.  64:890D 00000>mov    dword ptr fs:[0], ecx
006D3D8E  |.  8BE5       mov    esp, ebp
006D3D90  |.  5D          pop    ebp
006D3D91  \.  C3          retn

请大家帮我看看这段代码什么意思，每次执行到弹出
"Can not new Common memory"
点确定后退出。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (1)
ILM 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	ILM 2 楼我只是从纯代码上把自己大体能看懂的说下首先猜测[ebp-14]变量中应该存储的是一个结构体指针每次输出字符串肯定是上面的条件跳转到其中，要跳转到输出代码这块，[ebp-14]结构体中的2D、31、35、39、3D地址中存储的值为0，它们的值又是通过0x777250到0x777260地址中存储的值赋值的，至于这段地址中存储的值，可通过分析上边的函数确定，感觉肯能是0057A9A3中操作的 2012-2-11 20:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (1)

ILM

雪币： 201

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

粉丝

关注

私信

ILM: 2 楼

我只是从纯代码上把自己大体能看懂的说下
首先猜测[ebp-14]变量中应该存储的是一个结构体指针
每次输出字符串肯定是上面的条件跳转到其中，
要跳转到输出代码这块，[ebp-14]结构体中的2D、31、35、39、3D地址中存储的值为0，它们的值又是通过0x777250到0x777260地址中存储的值赋值的，至于这段地址中存储的值，可通过分析上边的函数确定，感觉肯能是0057A9A3中操作的

2012-2-11 20:00

weidaiyong

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区