[求助][讨论]IDA 逆向遇到一个奇怪问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 2 楼 sub_76D32BA0是IDA逆向时候的的函数临时名字 2013-10-20 21:36 0
wawt 雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 1 关注私信	wawt 3 楼应该是个函数吧！ 2013-10-20 21:40 0
vresn 雪币： 133 活跃值： (548) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 47 粉丝 0 关注私信	vresn 4 楼恩是函数不知道主要功能是做什么的 2013-10-20 21:48 0
vresn 雪币： 133 活跃值： (548) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 47 粉丝 0 关注私信	vresn 5 楼 .text:76D32BC4 mov esi, [ebp+arg_14] .text:76D32BC7 push edi ; lpOverlapped .text:76D32BC8 lea eax, [ebp+dwIoControlCode] .text:76D32BCB push eax ; lpBytesReturned .text:76D32BCC push dword ptr [esi] ; nOutBufferSize .text:76D32BCE mov eax, [ebp+arg_C] .text:76D32BD1 push [ebp+lpOutBuffer] ; lpOutBuffer .text:76D32BD4 push dword ptr [eax] ; nInBufferSize .text:76D32BD6 push [ebp+lpInBuffer] ; lpInBuffer .text:76D32BD9 push 120003h ; dwIoControlCode .text:76D32BDE push hDevice ; hDevice .text:76D32BE4 call ds:DeviceIoControl 这里很疑惑啊控制码 120003h 是不是跟TCP 端口有关啊 2013-10-20 21:49 0
KooJiSung 雪币： 357 活跃值： (3413) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 6 楼 ULONG __userpurge sub_76D32BA0<eax>(int a1<edi>, HANDLE FileHandle, int a3, int a4, int a5, int a6, int a7) { int v7; // esi@3 bool v8; // zf@3 ULONG result; // eax@4 NTSTATUS v10; // ebx@8 OBJECT_ATTRIBUTES ObjectAttributes; // [sp+0h] [bp-28h]@8 struct _IO_STATUS_BLOCK IoStatusBlock; // [sp+18h] [bp-10h]@8 UNICODE_STRING DestinationString; // [sp+20h] [bp-8h]@8 if ( FileHandle == (HANDLE)0x29 ) return sub_76D34AEB(a3, a4, a5, a6, a7); if ( dword_76D44104 == 0xFFFFFFFF ) { RtlInitUnicodeString(&DestinationString, L"\\Device\\Tcp"); ObjectAttributes.ObjectName = &DestinationString; ObjectAttributes.Length = 0x18; ObjectAttributes.RootDirectory = 0; ObjectAttributes.Attributes = 0x40; ObjectAttributes.SecurityDescriptor = 0; ObjectAttributes.SecurityQualityOfService = 0; v10 = NtCreateFile(&FileHandle, 0x20100000u, &ObjectAttributes, &IoStatusBlock, 0, 0x80u, 3u, 3u, 0x20u, 0, 0); EnterCriticalSection(&unk_76D440A0, a1); if ( dword_76D44104 == 0xFFFFFFFF ) { if ( v10 < 0 ) { LeaveCriticalSection(&unk_76D440A0); return RtlNtStatusToDosError(v10); } dword_76D44104 = (int)FileHandle; } else { NtClose(FileHandle); } LeaveCriticalSection(&unk_76D440A0); } v7 = a7; v8 = DeviceIoControl(dword_76D44104, 0x120003, a4, (_DWORD )a5, a6, (_DWORD )a7, &a3, 0) == 0; (_DWORD )v7 = a3; if ( v8 ) result = GetLastError(); else result = 0; return result; } 2013-10-20 21:53 0
vresn 雪币： 133 活跃值： (548) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 47 粉丝 0 关注私信	vresn 7 楼 6楼的代码是否可以理解为创建一个TCP 通信对象 2013-10-20 22:19 0
Popluna 雪币： 8 活跃值： (33) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 99 粉丝 1 关注私信	Popluna 8 楼 IDA又不会去猜你函数名是什么一些内部函数他就以这种方式代替- - 2013-10-21 09:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 2 楼 sub_76D32BA0是IDA逆向时候的的函数临时名字 2013-10-20 21:36 0
wawt 雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 1 关注私信	wawt 3 楼应该是个函数吧！ 2013-10-20 21:40 0
vresn 雪币： 133 活跃值： (548) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 47 粉丝 0 关注私信	vresn 4 楼恩是函数不知道主要功能是做什么的 2013-10-20 21:48 0
vresn 雪币： 133 活跃值： (548) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 47 粉丝 0 关注私信	vresn 5 楼 .text:76D32BC4 mov esi, [ebp+arg_14] .text:76D32BC7 push edi ; lpOverlapped .text:76D32BC8 lea eax, [ebp+dwIoControlCode] .text:76D32BCB push eax ; lpBytesReturned .text:76D32BCC push dword ptr [esi] ; nOutBufferSize .text:76D32BCE mov eax, [ebp+arg_C] .text:76D32BD1 push [ebp+lpOutBuffer] ; lpOutBuffer .text:76D32BD4 push dword ptr [eax] ; nInBufferSize .text:76D32BD6 push [ebp+lpInBuffer] ; lpInBuffer .text:76D32BD9 push 120003h ; dwIoControlCode .text:76D32BDE push hDevice ; hDevice .text:76D32BE4 call ds:DeviceIoControl 这里很疑惑啊控制码 120003h 是不是跟TCP 端口有关啊 2013-10-20 21:49 0
KooJiSung 雪币： 357 活跃值： (3413) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 6 楼 ULONG __userpurge sub_76D32BA0<eax>(int a1<edi>, HANDLE FileHandle, int a3, int a4, int a5, int a6, int a7) { int v7; // esi@3 bool v8; // zf@3 ULONG result; // eax@4 NTSTATUS v10; // ebx@8 OBJECT_ATTRIBUTES ObjectAttributes; // [sp+0h] [bp-28h]@8 struct _IO_STATUS_BLOCK IoStatusBlock; // [sp+18h] [bp-10h]@8 UNICODE_STRING DestinationString; // [sp+20h] [bp-8h]@8 if ( FileHandle == (HANDLE)0x29 ) return sub_76D34AEB(a3, a4, a5, a6, a7); if ( dword_76D44104 == 0xFFFFFFFF ) { RtlInitUnicodeString(&DestinationString, L"\\Device\\Tcp"); ObjectAttributes.ObjectName = &DestinationString; ObjectAttributes.Length = 0x18; ObjectAttributes.RootDirectory = 0; ObjectAttributes.Attributes = 0x40; ObjectAttributes.SecurityDescriptor = 0; ObjectAttributes.SecurityQualityOfService = 0; v10 = NtCreateFile(&FileHandle, 0x20100000u, &ObjectAttributes, &IoStatusBlock, 0, 0x80u, 3u, 3u, 0x20u, 0, 0); EnterCriticalSection(&unk_76D440A0, a1); if ( dword_76D44104 == 0xFFFFFFFF ) { if ( v10 < 0 ) { LeaveCriticalSection(&unk_76D440A0); return RtlNtStatusToDosError(v10); } dword_76D44104 = (int)FileHandle; } else { NtClose(FileHandle); } LeaveCriticalSection(&unk_76D440A0); } v7 = a7; v8 = DeviceIoControl(dword_76D44104, 0x120003, a4, (_DWORD )a5, a6, (_DWORD )a7, &a3, 0) == 0; (_DWORD )v7 = a3; if ( v8 ) result = GetLastError(); else result = 0; return result; } 2013-10-20 21:53 0
vresn 雪币： 133 活跃值： (548) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 47 粉丝 0 关注私信	vresn 7 楼 6楼的代码是否可以理解为创建一个TCP 通信对象 2013-10-20 22:19 0
Popluna 雪币： 8 活跃值： (33) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 99 粉丝 1 关注私信	Popluna 8 楼 IDA又不会去猜你函数名是什么一些内部函数他就以这种方式代替- - 2013-10-21 09:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复