书本上说的是,这个PacMe.exe的验证部分应该是一共走18次,每次可走4步,
但当我走完第一轮的验证,循环并没有继续下去,请问是什么问题呢? 是这EXE本身就设置成这样吗?
004010CC |. 83C4 FC ADD ESP,-4 ; string2,复制到string1
004010CF |. 68 65334000 PUSH PacMe.00403365 ; /String2 = "****************C*......*...****.*.****...*....*.*..**********.*..*....*...*...**.****.*.*...****.*....*.*******..*.***..*.....*.*..***.**.***.*...****....*X..*****************"
004010D4 |. 68 BC314000 PUSH PacMe.004031BC ; |String1 = PacMe.004031BC
004010D9 |. E8 3A070000 CALL <JMP.&KERNEL32.lstrcpyA> ; \lstrcpyA
004010DE |. C705 84314000>MOV DWORD PTR DS:[403184],PacMe.00403>; ASCII "C*......*...****.*.****...*....*.*..**********.*..*....*...*...**.****.*.*...****.*....*.*******..*.***..*.....*.*..***.**.***.*...****....*X..*****************"
004010E8 |. E8 30FFFFFF CALL PacMe.0040101D ; 对18个数据进行异域操作
004010ED |. C645 FE 00 MOV BYTE PTR SS:[EBP-2],0
004010F1 |. 33C0 XOR EAX,EAX
004010F3 |. 33C9 XOR ECX,ECX
004010F5 |> C645 FF 08 /MOV BYTE PTR SS:[EBP-1],8
004010F9 |> 806D FF 02 |/SUB BYTE PTR SS:[EBP-1],2 ; 6
004010FD |. 0FB64D FE ||MOVZX ECX,BYTE PTR SS:[EBP-2]
00401101 |. 81C1 E8344000 ||ADD ECX,PacMe.004034E8 ; 异域后的数据地址
00401107 |. 8A01 ||MOV AL,BYTE PTR DS:[ECX]
00401109 |. 8A4D FF ||MOV CL,BYTE PTR SS:[EBP-1] ; CL指向字符串最后的16位数据
0040110C |. D2E8 ||SHR AL,CL ; al右移六位
0040110E |. 24 03 ||AND AL,3
00401110 |. E8 1EFFFFFF ||CALL PacMe.00401033
00401115 |. 85C0 ||TEST EAX,EAX
00401117 |. 74 11 ||JE SHORT PacMe.0040112A
00401119 |. 0FB655 FF ||MOVZX EDX,BYTE PTR SS:[EBP-1]
0040111D |. 85D2 ||TEST EDX,EDX
0040111F |.^ 75 D8 |\JNZ SHORT PacMe.004010F9 ; 并没跑到此处
00401121 |. FE45 FE |INC BYTE PTR SS:[EBP-2]
00401124 |. 807D FE 12 |CMP BYTE PTR SS:[EBP-2],12
00401128 |.^ 75 CB \JNZ SHORT PacMe.004010F5
0040112A |> C9 LEAVE
0040112B \. C3 RETN
就是并没跑到0x0040111F 这里
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
