首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]下断MESSAGEBOX后如何找到关键代码
发表于: 2012-7-30 10:16 4739

[求助]下断MESSAGEBOX后如何找到关键代码

寒冷的风 活跃值
2012-7-30 10:16
4739
下断MESSAGEBOX后
76D9EA71 >  8BFF            mov edi,edi
76D9EA73    55              push ebp
76D9EA74    8BEC            mov ebp,esp
76D9EA76    833D 749ADA76 0>cmp dword ptr ds:[0x76DA9A74],0x0
76D9EA7D    74 24           je XUSER32.76D9EAA3
76D9EA7F    64:A1 18000000  mov eax,dword ptr fs:[0x18]
76D9EA85    6A 00           push 0x0
76D9EA87    FF70 24         push dword ptr ds:[eax+0x24]
76D9EA8A    68 A49EDA76     push USER32.76DA9EA4
76D9EA8F    FF15 3414D476   call dword ptr ds:[<&KERNEL32.Interlocke>; kernel32.InterlockedCompareExchange
76D9EA95    85C0            test eax,eax
76D9EA97    75 0A           jnz XUSER32.76D9EAA3
76D9EA99    C705 A09EDA76 0>mov dword ptr ds:[0x76DA9EA0],0x1
76D9EAA3    6A 00           push 0x0
76D9EAA5    FF75 14         push dword ptr ss:[ebp+0x14]
76D9EAA8    FF75 10         push dword ptr ss:[ebp+0x10]
76D9EAAB    FF75 0C         push dword ptr ss:[ebp+0xC]
76D9EAAE    FF75 08         push dword ptr ss:[ebp+0x8]
76D9EAB1    E8 73FFFFFF     call USER32.MessageBoxExA

估计是代码用JMP 跳转到76D9EA71。用IDA查找76D9EA71的相关信息,估计要2个小时才能找完。OA好像也找不到76D9EA71的信息。把代码向上看了,也没有找到。如何是好

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (5)
chixiaojie
雪    币: 3277
活跃值: (1992)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
估计你找的代码不对,再找找看。
2012-7-30 11:12
0
HuErr
雪    币: 51
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
你这代码还在user32.dll里面。。执行到retn 返回到上一层的调用。。
2012-7-30 12:02
0
aait
雪    币: 468
活跃值: (52)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
看看堆栈的返回地址,应该返回到应用程序的领空,现在还是系统领空。
2012-7-31 14:15
0
xiaohang
雪    币: 2149
活跃值: (3211)
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
私信
5
按alt+f9返回用户领空
2012-8-3 15:09
0
airbus
雪    币: 244
活跃值: (174)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
进来学习下哈
2012-8-3 21:26
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//