新人求教-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 新人求教 0.00雪花

发表于: 2013-8-23 19:18 1767

[旧帖] 新人求教 0.00雪花

yaomo

2013-8-23 19:18

1767

下面这段代码什么个意思，看不懂，求大牛帮忙看看，最好逐行说说

0040CFDC .  68 A4094A00 push 004A09A4                      ;  SE 处理程序安装
0040CFE1 .  64:A1 0000000>mov    eax, dword ptr fs:[0]
0040CFE7 .  50          push eax
0040CFE8 .  64:8925 00000>mov    dword ptr fs:[0], esp
0040CFEF .  81EC E8020000 sub    esp, 2E8
0040CFF5 .  898D 2CFDFFFF mov    dword ptr [ebp-2D4], ecx
0040CFFB .  8B8D 2CFDFFFF mov    ecx, dword ptr [ebp-2D4]
0040D001 .  E8 88560700 call <jmp.&MFC42.#366_CFrameWnd::CFra>
0040D006 .  C745 FC 00000>mov    dword ptr [ebp-4], 0
0040D00D .  8B8D 2CFDFFFF mov    ecx, dword ptr [ebp-2D4]
0040D013 .  81C1 F8000000 add    ecx, 0F8
0040D019 .  E8 5E530700 call <jmp.&MFC42.#540_CString::CStrin>
0040D01E .  C645 FC 01 mov    byte ptr [ebp-4], 1
0040D022 .  8B8D 2CFDFFFF mov    ecx, dword ptr [ebp-2D4]
0040D028 .  81C1 FC000000 add    ecx, 0FC
0040D02E .  E8 49530700 call <jmp.&MFC42.#540_CString::CStrin>
0040D033 .  C645 FC 02 mov    byte ptr [ebp-4], 2
0040D037 .  8B8D 2CFDFFFF mov    ecx, dword ptr [ebp-2D4]
0040D03D .  81C1 04010000 add    ecx, 104
0040D043 .  E8 34530700 call <jmp.&MFC42.#540_CString::CStrin>
0040D048 .  C645 FC 03 mov    byte ptr [ebp-4], 3
0040D04C .  8B8D 2CFDFFFF mov    ecx, dword ptr [ebp-2D4]
0040D052 .  81C1 0C010000 add    ecx, 10C
0040D058 .  E8 1F530700 call <jmp.&MFC42.#540_CString::CStrin>
0040D05D .  C645 FC 04 mov    byte ptr [ebp-4], 4
0040D061 .  8B8D 2CFDFFFF mov    ecx, dword ptr [ebp-2D4]
0040D067 .  81C1 3C010000 add    ecx, 13C
0040D06D .  E8 0A530700 call <jmp.&MFC42.#540_CString::CStrin>
0040D072 .  C645 FC 05 mov    byte ptr [ebp-4], 5
0040D076 .  8B8D 2CFDFFFF mov    ecx, dword ptr [ebp-2D4]
0040D07C .  81C1 40010000 add    ecx, 140
0040D082 .  E8 F5520700 call <jmp.&MFC42.#540_CString::CStrin>
0040D087 .  C645 FC 06 mov    byte ptr [ebp-4], 6
0040D08B .  8B8D 2CFDFFFF mov    ecx, dword ptr [ebp-2D4]
0040D091 .  81C1 44010000 add    ecx, 144
0040D097 .  E8 E0520700 call <jmp.&MFC42.#540_CString::CStrin>
0040D09C .  C645 FC 07 mov    byte ptr [ebp-4], 7
0040D0A0 .  8B8D 2CFDFFFF mov    ecx, dword ptr [ebp-2D4]
0040D0A6 .  81C1 48010000 add    ecx, 148
0040D0AC .  E8 CB520700 call <jmp.&MFC42.#540_CString::CStrin>
0040D0B1 .  C645 FC 08 mov    byte ptr [ebp-4], 8
0040D0B5 .  8B8D 2CFDFFFF mov    ecx, dword ptr [ebp-2D4]
0040D0BB .  81C1 4C010000 add    ecx, 14C
0040D0C1 .  E8 B6520700 call <jmp.&MFC42.#540_CString::CStrin>
0040D0C6 .  C645 FC 09 mov    byte ptr [ebp-4], 9
0040D0CA .  8D85 48FDFFFF lea    eax, dword ptr [ebp-2B8]
0040D0D0 .  50          push eax
0040D0D1 .  8B8D 2CFDFFFF mov    ecx, dword ptr [ebp-2D4]
0040D0D7 .  81C1 5C010000 add    ecx, 15C
0040D0DD .  E8 FC42FFFF call 004013DE
0040D0E2 .  C645 FC 0A mov    byte ptr [ebp-4], 0A
0040D0E6 .  8D8D 44FDFFFF lea    ecx, dword ptr [ebp-2BC]
0040D0EC .  51          push ecx
0040D0ED .  8B8D 2CFDFFFF mov    ecx, dword ptr [ebp-2D4]
0040D0F3 .  81C1 6C010000 add    ecx, 16C
0040D0F9 .  E8 7841FFFF call 00401276
0040D0FE .  C645 FC 0B mov    byte ptr [ebp-4], 0B
0040D102 .  8D95 40FDFFFF lea    edx, dword ptr [ebp-2C0]
0040D108 .  52          push edx
0040D109 .  8B8D 2CFDFFFF mov    ecx, dword ptr [ebp-2D4]
0040D10F .  81C1 7C010000 add    ecx, 17C
0040D115 .  E8 A246FFFF call 004017BC
0040D11A .  C645 FC 0C mov    byte ptr [ebp-4], 0C
0040D11E .  8B85 2CFDFFFF mov    eax, dword ptr [ebp-2D4]
0040D124 .  C700 48444A00 mov    dword ptr [eax], 004A4448
0040D12A .  8D8D BCFEFFFF lea    ecx, dword ptr [ebp-144]
0040D130 .  E8 47520700 call <jmp.&MFC42.#540_CString::CStrin>
0040D135 .  C645 FC 0D mov    byte ptr [ebp-4], 0D
0040D139 .  8B8D 2CFDFFFF mov    ecx, dword ptr [ebp-2D4]
0040D13F .  C781 CC000000>mov    dword ptr [ecx+CC], 0
0040D149 .  8B95 2CFDFFFF mov    edx, dword ptr [ebp-2D4]
0040D14F .  C782 C8000000>mov    dword ptr [edx+C8], 0
0040D159 .  8B85 2CFDFFFF mov    eax, dword ptr [ebp-2D4]
0040D15F .  C780 C4000000>mov    dword ptr [eax+C4], 0
0040D169 .  8B8D 2CFDFFFF mov    ecx, dword ptr [ebp-2D4]
0040D16F .  C781 C0000000>mov    dword ptr [ecx+C0], 0
0040D179 .  6A 09       push 9                               ; /n = 9
0040D17B .  6A 00       push 0                               ; |c = 00
0040D17D .  8B95 2CFDFFFF mov    edx, dword ptr [ebp-2D4]       ; |
0040D183 .  81C2 D0000000 add    edx, 0D0                      ; |
0040D189 .  52          push edx                            ; |s
0040D18A .  E8 2F570700 call <jmp.&MSVCRT.memset>          ; \memset
0040D18F .  83C4 0C    add    esp, 0C
0040D192 .  68 507C4D00 push 004D7C50
0040D197 .  8B8D 2CFDFFFF mov    ecx, dword ptr [ebp-2D4]
0040D19D .  81C1 0C010000 add    ecx, 10C
0040D1A3 .  E8 E0510700 call <jmp.&MFC42.#860_CString::operat>
0040D1A8 .  68 547C4D00 push 004D7C54
0040D1AD .  8B8D 2CFDFFFF mov    ecx, dword ptr [ebp-2D4]
0040D1B3 .  81C1 48010000 add    ecx, 148
0040D1B9 .  E8 CA510700 call <jmp.&MFC42.#860_CString::operat>
0040D1BE .  68 587C4D00 push 004D7C58
0040D1C3 .  8B8D 2CFDFFFF mov    ecx, dword ptr [ebp-2D4]
0040D1C9 .  81C1 4C010000 add    ecx, 14C
0040D1CF .  E8 B4510700 call <jmp.&MFC42.#860_CString::operat>
0040D1D4 .  8B8D 2CFDFFFF mov    ecx, dword ptr [ebp-2D4]
0040D1DA .  E8 A947FFFF call 00401988
0040D1DF .  8B40 04    mov    eax, dword ptr [eax+4]
0040D1E2 .  8985 C4FEFFFF mov    dword ptr [ebp-13C], eax
0040D1E8 .  8B8D 2CFDFFFF mov    ecx, dword ptr [ebp-2D4]
0040D1EE .  E8 5541FFFF call 00401348
0040D1F3 .  A3 C8F34A00 mov    dword ptr [4AF3C8], eax
0040D1F8 .  8D4D E4    lea    ecx, dword ptr [ebp-1C]
0040D1FB .  51          push ecx
0040D1FC .  E8 8A3FFFFF call 0040118B
0040D201 .  8BC8       mov    ecx, eax
0040D203 .  E8 E447FFFF call 004019EC
0040D208 .  8B55 F0    mov    edx, dword ptr [ebp-10]
0040D20B .  83C2 02    add    edx, 2
0040D20E .  52          push edx
0040D20F .  8B45 EC    mov    eax, dword ptr [ebp-14]
0040D212 .  83C0 02    add    eax, 2
0040D215 .  50          push eax
0040D216 .  8B4D E8    mov    ecx, dword ptr [ebp-18]
0040D219 .  83E9 02    sub    ecx, 2
0040D21C .  51          push ecx
0040D21D .  8B55 E4    mov    edx, dword ptr [ebp-1C]
0040D220 .  83EA 02    sub    edx, 2
0040D223 .  52          push edx
0040D224 .  8D4D D4    lea    ecx, dword ptr [ebp-2C]
0040D227 .  E8 3546FFFF call 00401861
0040D22C .  6A 00       push 0
0040D22E .  6A 00       push 0
0040D230 .  6A 00       push 0
0040D232 .  6A 00       push 0
0040D234 .  8D45 D4    lea    eax, dword ptr [ebp-2C]
0040D237 .  50          push eax
0040D238 .  68 00000080 push 80000000
0040D23D .  6A 00       push 0
0040D23F .  6A 00       push 0
0040D241 .  8B8D 2CFDFFFF mov    ecx, dword ptr [ebp-2D4]
0040D247 .  E8 3C540700 call <jmp.&MFC42.#2092_CFrameWnd::Cre>
0040D24C .  E8 8E45FFFF call 004017DF
0040D251 .  8B8D 2CFDFFFF mov    ecx, dword ptr [ebp-2D4]
0040D257 .  E8 8D40FFFF call 004012E9
0040D25C .  8D8D 3CFDFFFF lea    ecx, dword ptr [ebp-2C4]
0040D262 .  51          push ecx
0040D263 .  8B8D 2CFDFFFF mov    ecx, dword ptr [ebp-2D4]
0040D269 .  E8 1349FFFF call 00401B81
0040D26E .  8985 28FDFFFF mov    dword ptr [ebp-2D8], eax
0040D274 .  8B95 28FDFFFF mov    edx, dword ptr [ebp-2D8]
0040D27A .  8995 24FDFFFF mov    dword ptr [ebp-2DC], edx
0040D280 .  C645 FC 0E mov    byte ptr [ebp-4], 0E
0040D284 .  8B85 24FDFFFF mov    eax, dword ptr [ebp-2DC]
0040D28A .  50          push eax
0040D28B .  8B8D 2CFDFFFF mov    ecx, dword ptr [ebp-2D4]
0040D291 .  81C1 F8000000 add    ecx, 0F8
0040D297 .  E8 28510700 call <jmp.&MFC42.#858_CString::operat>
0040D29C .  C645 FC 0D mov    byte ptr [ebp-4], 0D
0040D2A0 .  8D8D 3CFDFFFF lea    ecx, dword ptr [ebp-2C4]
0040D2A6 .  E8 CB500700 call <jmp.&MFC42.#800_CString::~CStri>
0040D2AB .  E8 F93EFFFF call 004011A9
0040D2B0 .  8B8D 2CFDFFFF mov    ecx, dword ptr [ebp-2D4]
0040D2B6 .  E8 AC49FFFF call 00401C67
0040D2BB .  8B8D 2CFDFFFF mov    ecx, dword ptr [ebp-2D4]
0040D2C1 .  E8 2D40FFFF call 004012F3
0040D2C6 .  A3 087C4D00 mov    dword ptr [4D7C08], eax
0040D2CB .  833D 087C4D00>cmp    dword ptr [4D7C08], 0
0040D2D2 .  0F84 B7000000 je    0040D38F
0040D2D8 .  8B8D 2CFDFFFF mov    ecx, dword ptr [ebp-2D4]
0040D2DE .  E8 3746FFFF call 0040191A
0040D2E3 .  A3 087C4D00 mov    dword ptr [4D7C08], eax
0040D2E8 .  833D 087C4D00>cmp    dword ptr [4D7C08], 0

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・0

免费・0

支持

最新回复 (5)
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 2 楼大概是字符串操作相关。 2013-8-25 12:18 0
yaomo 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 32 粉丝 0 关注私信	yaomo 3 楼 binggo,确实是字符串，能否朝这个方向再深入一点？ 2013-8-25 13:23 0
yaomo 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 32 粉丝 0 关注私信	yaomo 4 楼汇编学得不扎实，能否逐行分析下，私聊亦可 2013-8-25 15:01 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 5 楼这东西反汇编，是要靠一些实际的数值进行揣摩的，光看代码我功力不够 2013-8-25 19:22 0
jiaxiaijia 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 6 粉丝 0 关注私信	jiaxiaijia 6 楼 GOOD 2013-8-26 09:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

yaomo

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (5)
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 2 楼大概是字符串操作相关。 2013-8-25 12:18 0
yaomo 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 32 粉丝 0 关注私信	yaomo 3 楼 binggo,确实是字符串，能否朝这个方向再深入一点？ 2013-8-25 13:23 0
yaomo 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 32 粉丝 0 关注私信	yaomo 4 楼汇编学得不扎实，能否逐行分析下，私聊亦可 2013-8-25 15:01 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 5 楼这东西反汇编，是要靠一些实际的数值进行揣摩的，光看代码我功力不够 2013-8-25 19:22 0
jiaxiaijia 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 6 粉丝 0 关注私信	jiaxiaijia 6 楼 GOOD 2013-8-26 09:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复