大家看看,这里面有什么不对吗?/http://towedm.nease.net/towedm/ksdisk.exe
刚开如用od载入到了
004CBBD6 k> 90 nop 按F8
004CBBD7 ^ E9 25E4FFFF jmp ks.004CA001 按F8跳
004CBBDC 0000 add byte ptr ds:[eax],al
004CBBDE 1D 876FD41E sbb eax,1ED46F87
004CBBE3 BC 0C000000 mov esp,0C
跳到
004CA001 60 pushad 我是初学的个人认为这是入口了
004CA002 E8 02000000 call ks.004CA009 按F7走但是却没有这个地址啊????
004CA007 E8 00E80000 call 004D880C 按F7走就往下走
004CA00C 0000 add byte ptr ds:[eax],al
004CA00E 5E pop esi
004CA00F 2BC9 sub ecx,ecx
004CA011 58 pop eax
004CA012 74 02 je short ks.004CA016 此处和下面不知是不是自检???我按F7一步一步走但是走来走去就是进程终止(可能我还是初学者吧代码也看不懂啊??)
004CA014 CD20 B9511900 vxdcall 1951B9
004CA01A 008B C1F87302 add byte ptr ds:[ebx+273F8C1],cl
004CA020 CD20 83C6338D vxdjump 8D33C683
004CA026 44 inc esp
004CA027 8167 E8 02000000 and dword ptr ds:[edi-18],2
004CA02E E8 80300646 call 4652D0B3
004CA033 5A pop edx
004CA034 EB 01 jmp short ks.004CA037
004CA036 - E9 D409497F jmp 7F95AA0F
004CA03B - E9 67E302CD jmp CD4F83A7
004CA040 2014C9 and byte ptr ds:[ecx+ecx*8],dl
004CA043 D9C9 fxch st(1)
004CA045 C07C39 B4 22 sar byte ptr ds:[ecx+edi-4C],22
004CA04A AB stos dword ptr es:[edi]
004CA04B 49 dec ecx
004CA04C D82A fsubr dword ptr ds:[edx]
004CA04E ED in eax,dx
004CA04F 4F dec edi
004CA050 BC 705A9B79 mov esp,799B5A70
004CA055 EC in al,dx
004CA056 6C ins byte ptr es:[edi],dx
004CA057 84FF test bh,bh
004CA059 B5 B3 mov ch,0B3
004CA05B 65:6A 29 push 29
004CA05E 2ABD 73F23D95 sub bh,byte ptr ss:[ebp+953DF273]
004CA064 ^ 72 C4 jb short ks.004CA02A
004CA066 C9 leave
004CA067 4D dec ebp
004CA068 ^ 7E EF jle short ks.004CA059
004CA06A F0:41 lock inc ecx ; 锁定前缀是不允许的
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课