首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]请教一个花指令
发表于: 2012-2-21 14:08 4524

[求助]请教一个花指令

themars 活跃值
2012-2-21 14:08
4524
0041A212    85C0            test    eax, eax
0041A214    0F84 38060000   je      0041A852
0041A21A    83B9 E0370000 1>cmp     dword ptr [ecx+37E0], 1C
0041A221    0F82 2B060000   jb      0041A852
0041A227    F3:             prefix rep:
0041A228    0F7E40 01       movd    dword ptr [eax+1], mm0
0041A22C    66:0FD6         ???                                      ; 未知命令
0041A22F    45              inc     ebp
0041A230    BC F30F7E40     mov     esp, 407E0FF3
0041A235    0966 0F         or      dword ptr [esi+F], esp
0041A238    D6              salc
0041A239    45              inc     ebp
0041A23A    C4F3            les     esi, ebx                         ; 非法使用寄存器
0041A23C    0F7E40 11       movd    dword ptr [eax+11], mm0
0041A240    66:0FD6         ???                                      ; 未知命令
0041A243    45              inc     ebp
0041A244    CC              int3
0041A245    66:8B48 19      mov     cx, word ptr [eax+19]

EIP的变化如下
0041A221
0041A227
0041A22C
0041A231
0041A236
0041A23B
0041A240
0041A245

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (3)
Membered
雪    币: 86
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
2
观察eip 后,将 eip 处的指令抽取出来,也就是将上面的都单独放db 字节出来,形成可以识别的指令
2012-2-21 16:46
0
无聊的菜鸟
雪    币: 622
活跃值: (294)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
私信
3
movd    dword ptr [eax+1], mm0
从这一句来看,下面的实际上是正常的mmx指令。OD1.x对mmx指令的反汇编并不完善。

movd    dword ptr [eax+1], mm0
movq    xmm0,qword ptr ds:[eax+1]  
movq    qword ptr ss:[ebp-44],xmm0
movq    xmm0,qword ptr ds:[eax+9]
movq    qword ptr ss:[ebp-3C],xmm0
movq    xmm0,qword ptr ds:[eax+11]
movq    qword ptr ss:[ebp-34],xmm0  
mov     cx,word ptr ds:[eax+19]
2012-2-21 18:30
0
themars
雪    币: 14
活跃值: (33)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
感谢各位的回答 3楼是对的 确实是OD的问题 用OD2看了下就很明显了
2012-2-21 19:52
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//