[求助]断下后，堆栈无返回地址，如何知道跳转来自何处？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
yulinxie 雪币： 237 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 113 粉丝 0 关注私信	yulinxie 2 楼加断点然后重新执行一遍。 2015-9-25 16:10 0
leafsv 雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	leafsv 3 楼多线程？ 2015-9-25 17:03 0
hhstyle 雪币： 180 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	hhstyle 4 楼你确定这是一个call？如果是的话，肯定会有返回地址的，如果是栈没有标出返回值，在ret的地方，也能知道返回到哪里吧。 2015-9-25 17:51 0
时光鸟雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 53 粉丝 0 关注私信	时光鸟 5 楼执行到返回没反应！你好可否加我QQ好友QQ55256620，希望能得到你更多的帮助，谢谢！ 2015-9-26 21:28 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 5 关注私信	linziqingl 4 6 楼不奇怪呀！因为你看到的 call 指令附近被花了，实际不是 call 指令所以你断下后堆栈无返回地址附上我N久以前随机生成器生成的花指令系列之一（这只是冰山一角！），有兴趣的可以研究研究，反正我已经不想搞这些了： //MyCRandJmpCodeHFile1.h #pragma once #define JMP_CODE_TAB1_000000(EdiCode) \ __asm push ecx \ __asm push dword ptr 0xbcdf6a99 \ __asm push dword ptr [esp + 0x2c] \ __asm push dword ptr 0x9d6ad411 \ __asm push dword ptr 0xcf24f46e \ __asm push dword ptr 0xd6ca35f7 \ __asm push dword ptr [esp + 0x20] \ __asm push edx \ __asm push dword ptr [esp + 0xc] \ __asm push ebp \ __asm push dword ptr [esp + 0x10] \ __asm call JMP_CODE_TAB1_000000_000 \ __asm _emit 0x81 \ __asm _emit 0xb5 \ __asm JMP_CODE_TAB1_000000_000: \ __asm push offset EdiCode + -1439573014 \ __asm sub dword ptr[esp],-1439573014 \ __asm jnz JMP_CODE_TAB1_000000_001 \ __asm _emit 0x81 \ __asm _emit 0x81 \ __asm JMP_CODE_TAB1_000000_001: \ __asm ret 44 \ __asm _emit 0x81 \ __asm _emit 0xc9 #define JMP_CODE_TAB1_000001(EdiCode) \ __asm push dword ptr 0xb09ea333 \ __asm sub esp,52 \ __asm call JMP_CODE_TAB1_000001_000 \ __asm _emit 0x81 \ __asm _emit 0xf7 \ __asm JMP_CODE_TAB1_000001_000: \ __asm push offset EdiCode + -1420218492 \ __asm sub dword ptr[esp],-1420218492 \ __asm jnz JMP_CODE_TAB1_000001_001 \ __asm _emit 0x0f \ __asm _emit 0x82 \ __asm JMP_CODE_TAB1_000001_001: \ __asm ret 56 \ __asm _emit 0x81 \ __asm _emit 0xf2 #define JMP_CODE_TAB1_000002(EdiCode) \ __asm push dword ptr [esp + 0x24] \ __asm push dword ptr [esp + 0x18] \ __asm push dword ptr 0xafdb4e66 \ __asm push dword ptr [esp + 0x34] \ __asm push dword ptr 0xc9634c66 \ __asm push dword ptr 0xabfb572c \ __asm push dword ptr [esp + 0x14] \ __asm push dword ptr [esp + 0x20] \ __asm push dword ptr [esp + 0x18] \ __asm call JMP_CODE_TAB1_000002_000 \ __asm _emit 0xb8 \ __asm JMP_CODE_TAB1_000002_000: \ __asm push offset EdiCode - -1066354610 \ __asm add dword ptr[esp],-1066354610 \ __asm jnz JMP_CODE_TAB1_000002_001 \ __asm _emit 0xa9 \ __asm _emit 0x78 \ __asm JMP_CODE_TAB1_000002_001: \ __asm ret 36 \ __asm _emit 0x25 #define JMP_CODE_TAB1_000003(EdiCode) \ __asm push dword ptr [esp + 0x4] \ __asm push ebx \ __asm push ebp \ __asm push dword ptr 0xb4a09355 \ __asm push dword ptr [esp + 0x14] \ __asm call JMP_CODE_TAB1_000003_000 \ __asm _emit 0xb8 \ __asm JMP_CODE_TAB1_000003_000: \ __asm push offset EdiCode + -1061102592 \ __asm sub dword ptr[esp],-1061102592 \ __asm jz JMP_CODE_TAB1_000003_E000 \ __asm ret 20 \ __asm _emit 0x81 \ __asm _emit 0x8c \ __asm JMP_CODE_TAB1_000003_E000: \ __asm _emit 0x81 \ __asm _emit 0xaf //MyCRandJmpCodeHFile0.h #pragma once #define JMP_CODE_TAB_000(EdiCode) \ __asm push dword ptr [esp + 0x28] \ __asm push dword ptr 0xd2212ca1 \ __asm push edi \ __asm push dword ptr [esp + 0x24] \ __asm sub esp,68 \ __asm call JMP_CODE_TAB_000_000 \ __asm _emit 0xb8 \ __asm JMP_CODE_TAB_000_000: \ __asm xchg edi,[esp] \ __asm sub edi,offset JMP_CODE_TAB_000_000 - 1 - -1045432137 \ __asm add edi,offset EdiCode - -1045432137 \ __asm jz JMP_CODE_TAB_000_E000 \ __asm xchg edi,[esp] \ __asm ret 84 \ __asm _emit 0x81 \ __asm _emit 0xb3 \ __asm JMP_CODE_TAB_000_E000: \ __asm _emit 0x81 \ __asm _emit 0xa7 #define JMP_CODE_TAB_001(EdiCode) \ __asm push edi \ __asm push dword ptr [esp + 0x20] \ __asm push dword ptr [esp + 0x18] \ __asm push dword ptr [esp + 0x20] \ __asm push dword ptr [esp + 0x24] \ __asm sub esp,104 \ __asm call JMP_CODE_TAB_001_000 \ __asm _emit 0x25 \ __asm JMP_CODE_TAB_001_000: \ __asm xchg ebp,[esp] \ __asm sub ebp,offset JMP_CODE_TAB_001_000 - 1 + -1308997686 \ __asm add ebp,offset EdiCode + -1308997686 \ __asm jnz JMP_CODE_TAB_001_001 \ __asm _emit 0x0f \ __asm _emit 0x89 \ __asm JMP_CODE_TAB_001_001: \ __asm xchg ebp,[esp] \ __asm ret 124 \ __asm _emit 0x81 \ __asm _emit 0xfe #define JMP_CODE_TAB_002(EdiCode) \ __asm push dword ptr 0xb4a09355 \ __asm push dword ptr [esp + 0x14] \ __asm push dword ptr [esp + 0x8] \ __asm push dword ptr [esp + 0x34] \ __asm push dword ptr 0xcba07e96 \ __asm sub esp,72 \ __asm call JMP_CODE_TAB_002_000 \ __asm _emit 0x81 \ __asm _emit 0xaf \ __asm JMP_CODE_TAB_002_000: \ __asm xchg edx,[esp] \ __asm sub edx,offset JMP_CODE_TAB_002_000 - 2 - -1645082403 \ __asm add edx,offset EdiCode - -1645082403 \ __asm jz JMP_CODE_TAB_002_E000 \ __asm xchg edx,[esp] \ __asm ret 92 \ __asm _emit 0x81 \ __asm _emit 0xf4 \ __asm JMP_CODE_TAB_002_E000: \ __asm _emit 0x81 \ __asm _emit 0x80 //MyCRandJmpCodeHFile2.h #pragma once #define JMP_CODE_TAB2_000000(EdiCode,EsiData) \ __asm call JMP_CODE_TAB2_F_0000_CALLCODE_001 \ __asm JMP_CODE_TAB2_F_0000_RETCODE_000: \ __asm _emit 0x81 \ __asm _emit 0xce \ __asm JMP_CODE_TAB2_F_0000_CALLCODE_001: \ __asm sub dword ptr[esp], offset JMP_CODE_TAB2_F_0000_RETCODE_000 - 3100 \ __asm jz JMP_CODE_TAB2_F_0000_RETCODE_001 \ __asm call JMP_CODE_TAB2_F_0000_CALLCODE_002 \ __asm JMP_CODE_TAB2_F_0000_RETCODE_001: \ __asm _emit 0x81 \ __asm _emit 0xb5 \ __asm JMP_CODE_TAB2_F_0000_CALLCODE_004: \ __asm sub dword ptr[esp], offset JMP_CODE_TAB2_F_0000_RETCODE_003 + 725 \ __asm jz JMP_CODE_TAB2_F_0000_RETCODE_004 \ __asm call JMP_CODE_TAB2_F_0000_CALLCODE_005 \ __asm JMP_CODE_TAB2_F_0000_RETCODE_004: \ __asm _emit 0x81 \ __asm _emit 0xc5 \ __asm JMP_CODE_TAB2_F_0000_CALLCODE_013: \ __asm add esp,52 \ __asm add dword ptr[esp + -12],offset EdiCode - 3561 \ __asm jz JMP_CODE_TAB2_F_0000_RETCODE_013 \ __asm jmp [esp + -12] \ __asm JMP_CODE_TAB2_F_0000_RETCODE_013: \ __asm _emit 0x81 \ __asm _emit 0xae \ __asm JMP_CODE_TAB2_F_0000_CALLCODE_010: \ __asm sub dword ptr[esp], offset JMP_CODE_TAB2_F_0000_RETCODE_009 + 3343 \ __asm jz JMP_CODE_TAB2_F_0000_RETCODE_010 \ __asm call JMP_CODE_TAB2_F_0000_CALLCODE_011 \ __asm JMP_CODE_TAB2_F_0000_RETCODE_010: \ __asm _emit 0xf7 \ __asm _emit 0xfa \ __asm JMP_CODE_TAB2_F_0000_CALLCODE_009: \ __asm sub dword ptr[esp], offset JMP_CODE_TAB2_F_0000_RETCODE_008 + 313 \ __asm jz JMP_CODE_TAB2_F_0000_RETCODE_009 \ __asm call JMP_CODE_TAB2_F_0000_CALLCODE_010 \ __asm JMP_CODE_TAB2_F_0000_RETCODE_009: \ __asm _emit 0x81 \ __asm _emit 0x80 \ __asm JMP_CODE_TAB2_F_0000_CALLCODE_012: \ __asm sub dword ptr[esp], offset JMP_CODE_TAB2_F_0000_RETCODE_011 - 591 \ __asm jz JMP_CODE_TAB2_F_0000_RETCODE_012 \ __asm call JMP_CODE_TAB2_F_0000_CALLCODE_013 \ __asm JMP_CODE_TAB2_F_0000_RETCODE_012: \ __asm _emit 0xb9 \ __asm JMP_CODE_TAB2_F_0000_CALLCODE_005: \ __asm sub dword ptr[esp], offset JMP_CODE_TAB2_F_0000_RETCODE_004 + 979 \ __asm jz JMP_CODE_TAB2_F_0000_RETCODE_005 \ __asm call JMP_CODE_TAB2_F_0000_CALLCODE_006 \ __asm JMP_CODE_TAB2_F_0000_RETCODE_005: \ __asm _emit 0x81 \ __asm _emit 0x97 \ __asm JMP_CODE_TAB2_F_0000_CALLCODE_006: \ __asm sub dword ptr[esp], offset JMP_CODE_TAB2_F_0000_RETCODE_005 - 1835 \ __asm jz JMP_CODE_TAB2_F_0000_RETCODE_006 \ __asm call JMP_CODE_TAB2_F_0000_CALLCODE_007 \ __asm JMP_CODE_TAB2_F_0000_RETCODE_006: \ __asm _emit 0x81 \ __asm _emit 0x8c \ __asm JMP_CODE_TAB2_F_0000_CALLCODE_007: \ __asm sub dword ptr[esp], offset JMP_CODE_TAB2_F_0000_RETCODE_006 + 2925 \ __asm jz JMP_CODE_TAB2_F_0000_RETCODE_007 \ __asm call JMP_CODE_TAB2_F_0000_CALLCODE_008 \ __asm JMP_CODE_TAB2_F_0000_RETCODE_007: \ __asm _emit 0x81 \ __asm _emit 0xaf \ __asm JMP_CODE_TAB2_F_0000_CALLCODE_003: \ __asm sub dword ptr[esp], offset JMP_CODE_TAB2_F_0000_RETCODE_002 - 3561 \ __asm jz JMP_CODE_TAB2_F_0000_RETCODE_003 \ __asm call JMP_CODE_TAB2_F_0000_CALLCODE_004 \ __asm JMP_CODE_TAB2_F_0000_RETCODE_003: \ __asm _emit 0x0f \ __asm _emit 0x8B \ __asm JMP_CODE_TAB2_F_0000_CALLCODE_008: \ __asm sub dword ptr[esp], offset JMP_CODE_TAB2_F_0000_RETCODE_007 - 1082 \ __asm jz JMP_CODE_TAB2_F_0000_RETCODE_008 \ __asm call JMP_CODE_TAB2_F_0000_CALLCODE_009 \ __asm JMP_CODE_TAB2_F_0000_RETCODE_008: \ __asm _emit 0xf7 \ __asm _emit 0x81 \ __asm JMP_CODE_TAB2_F_0000_CALLCODE_002: \ __asm sub dword ptr[esp], offset JMP_CODE_TAB2_F_0000_RETCODE_001 - 1064 \ __asm jz JMP_CODE_TAB2_F_0000_RETCODE_002 \ __asm call JMP_CODE_TAB2_F_0000_CALLCODE_003 \ __asm JMP_CODE_TAB2_F_0000_RETCODE_002: \ __asm _emit 0x0f \ __asm _emit 0x88 \ __asm JMP_CODE_TAB2_F_0000_CALLCODE_011: \ __asm sub dword ptr[esp], offset JMP_CODE_TAB2_F_0000_RETCODE_010 + 3022 \ __asm jz JMP_CODE_TAB2_F_0000_RETCODE_011 \ __asm call JMP_CODE_TAB2_F_0000_CALLCODE_012 \ __asm JMP_CODE_TAB2_F_0000_RETCODE_011: \ __asm _emit 0x81 \ __asm _emit 0xb5 2015-9-26 22:25 0
时光鸟雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 53 粉丝 0 关注私信	时光鸟 7 楼多谢，请指点以下，解决这类问题的有效方法！ 2015-9-28 17:13 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 5 关注私信	linziqingl 4 8 楼你在调试器断下的地方看到的汇编代码处，用IDA静态分析一下，花指令一般就藏在中间。最后的结果会是：静态分析的汇编指令系列与调试器某一时刻显示的汇编指令系列不同。剩下的你自己去好好挖掘吧！ 2015-9-28 22:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

yulinxie

雪币： 237

活跃值： (40)

能力值：

( LV3，RANK：20 )

在线值：

发帖

12

回帖

113

粉丝

0

关注

私信

yulinxie: 2 楼

加断点然后重新执行一遍。

2015-9-25 16:10

0

leafsv

雪币： 16

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

3

回帖

15

粉丝

0

关注

私信

leafsv: 3 楼

多线程？

2015-9-25 17:03

0

hhstyle

雪币： 180

活跃值： (26)

能力值：

( LV3，RANK：20 )

在线值：

发帖

2

回帖

30

粉丝

0

关注

私信

hhstyle: 4 楼

你确定这是一个call？如果是的话，肯定会有返回地址的，如果是栈没有标出返回值，在ret的地方，也能知道返回到哪里吧。

2015-9-25 17:51

0

时光鸟

雪币： 43

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

13

回帖

53

粉丝

0

关注

私信

时光鸟: 5 楼

执行到返回没反应！你好可否加我QQ好友QQ55256620，希望能得到你更多的帮助，谢谢！

2015-9-26 21:28

0

linziqingl

雪币： 267

活跃值： (438)

能力值：

( LV9，RANK：190 )

在线值：

发帖

54

回帖

339

粉丝

5

关注

私信

linziqingl 4: 6 楼

不奇怪呀！

因为你看到的 call 指令附近被花了，实际不是 call 指令

所以你断下后堆栈无返回地址

附上我N久以前随机生成器生成的花指令系列之一（这只是冰山一角！），有兴趣的可以研究研究，反正我已经不想搞这些了：

//MyCRandJmpCodeHFile1.h
#pragma once

#define JMP_CODE_TAB1_000000(EdiCode) \
__asm push ecx \
__asm push dword ptr 0xbcdf6a99 \
__asm push dword ptr [esp + 0x2c] \
__asm push dword ptr 0x9d6ad411 \
__asm push dword ptr 0xcf24f46e \
__asm push dword ptr 0xd6ca35f7 \
__asm push dword ptr [esp + 0x20] \
__asm push edx \
__asm push dword ptr [esp + 0xc] \
__asm push ebp \
__asm push dword ptr [esp + 0x10] \
__asm call JMP_CODE_TAB1_000000_000 \
__asm _emit 0x81 \
__asm _emit 0xb5 \
__asm JMP_CODE_TAB1_000000_000: \
__asm push offset EdiCode + -1439573014 \
__asm sub dword ptr[esp],-1439573014 \
__asm jnz JMP_CODE_TAB1_000000_001 \
__asm _emit 0x81 \
__asm _emit 0x81 \
__asm JMP_CODE_TAB1_000000_001: \
__asm ret 44 \
__asm _emit 0x81 \
__asm _emit 0xc9

#define JMP_CODE_TAB1_000001(EdiCode) \
__asm push dword ptr 0xb09ea333 \
__asm sub esp,52  \
__asm call JMP_CODE_TAB1_000001_000 \
__asm _emit 0x81 \
__asm _emit 0xf7 \
__asm JMP_CODE_TAB1_000001_000: \
__asm push offset EdiCode + -1420218492 \
__asm sub dword ptr[esp],-1420218492 \
__asm jnz JMP_CODE_TAB1_000001_001 \
__asm _emit 0x0f \
__asm _emit 0x82 \
__asm JMP_CODE_TAB1_000001_001: \
__asm ret 56 \
__asm _emit 0x81 \
__asm _emit 0xf2

#define JMP_CODE_TAB1_000002(EdiCode) \
__asm push dword ptr [esp + 0x24] \
__asm push dword ptr [esp + 0x18] \
__asm push dword ptr 0xafdb4e66 \
__asm push dword ptr [esp + 0x34] \
__asm push dword ptr 0xc9634c66 \
__asm push dword ptr 0xabfb572c \
__asm push dword ptr [esp + 0x14] \
__asm push dword ptr [esp + 0x20] \
__asm push dword ptr [esp + 0x18] \
__asm call JMP_CODE_TAB1_000002_000 \
__asm _emit 0xb8 \
__asm JMP_CODE_TAB1_000002_000: \
__asm push offset EdiCode - -1066354610 \
__asm add dword ptr[esp],-1066354610 \
__asm jnz JMP_CODE_TAB1_000002_001 \
__asm _emit 0xa9 \
__asm _emit 0x78 \
__asm JMP_CODE_TAB1_000002_001: \
__asm ret 36 \
__asm _emit 0x25

#define JMP_CODE_TAB1_000003(EdiCode) \
__asm push dword ptr [esp + 0x4] \
__asm push ebx \
__asm push ebp \
__asm push dword ptr 0xb4a09355 \
__asm push dword ptr [esp + 0x14] \
__asm call JMP_CODE_TAB1_000003_000 \
__asm _emit 0xb8 \
__asm JMP_CODE_TAB1_000003_000: \
__asm push offset EdiCode + -1061102592 \
__asm sub dword ptr[esp],-1061102592 \
__asm jz JMP_CODE_TAB1_000003_E000 \
__asm ret 20 \
__asm _emit 0x81 \
__asm _emit 0x8c \
__asm JMP_CODE_TAB1_000003_E000: \
__asm _emit 0x81 \
__asm _emit 0xaf

//MyCRandJmpCodeHFile0.h
#pragma once

#define JMP_CODE_TAB_000(EdiCode) \
__asm push dword ptr [esp + 0x28] \
__asm push dword ptr 0xd2212ca1 \
__asm push edi \
__asm push dword ptr [esp + 0x24] \
__asm sub esp,68  \
__asm call JMP_CODE_TAB_000_000 \
__asm _emit 0xb8 \
__asm JMP_CODE_TAB_000_000: \
__asm xchg edi,[esp] \
__asm sub edi,offset JMP_CODE_TAB_000_000 - 1 - -1045432137 \
__asm add edi,offset EdiCode - -1045432137 \
__asm jz JMP_CODE_TAB_000_E000 \
__asm xchg edi,[esp] \
__asm ret 84 \
__asm _emit 0x81 \
__asm _emit 0xb3 \
__asm JMP_CODE_TAB_000_E000: \
__asm _emit 0x81 \
__asm _emit 0xa7

#define JMP_CODE_TAB_001(EdiCode) \
__asm push edi \
__asm push dword ptr [esp + 0x20] \
__asm push dword ptr [esp + 0x18] \
__asm push dword ptr [esp + 0x20] \
__asm push dword ptr [esp + 0x24] \
__asm sub esp,104  \
__asm call JMP_CODE_TAB_001_000 \
__asm _emit 0x25 \
__asm JMP_CODE_TAB_001_000: \
__asm xchg ebp,[esp] \
__asm sub ebp,offset JMP_CODE_TAB_001_000 - 1 + -1308997686 \
__asm add ebp,offset EdiCode + -1308997686 \
__asm jnz JMP_CODE_TAB_001_001 \
__asm _emit 0x0f \
__asm _emit 0x89 \
__asm JMP_CODE_TAB_001_001: \
__asm xchg ebp,[esp] \
__asm ret 124 \
__asm _emit 0x81 \
__asm _emit 0xfe

#define JMP_CODE_TAB_002(EdiCode) \
__asm push dword ptr 0xb4a09355 \
__asm push dword ptr [esp + 0x14] \
__asm push dword ptr [esp + 0x8] \
__asm push dword ptr [esp + 0x34] \
__asm push dword ptr 0xcba07e96 \
__asm sub esp,72  \
__asm call JMP_CODE_TAB_002_000 \
__asm _emit 0x81 \
__asm _emit 0xaf \
__asm JMP_CODE_TAB_002_000: \
__asm xchg edx,[esp] \
__asm sub edx,offset JMP_CODE_TAB_002_000 - 2 - -1645082403 \
__asm add edx,offset EdiCode - -1645082403 \
__asm jz JMP_CODE_TAB_002_E000 \
__asm xchg edx,[esp] \
__asm ret 92 \
__asm _emit 0x81 \
__asm _emit 0xf4 \
__asm JMP_CODE_TAB_002_E000: \
__asm _emit 0x81 \
__asm _emit 0x80

//MyCRandJmpCodeHFile2.h
#pragma once

#define JMP_CODE_TAB2_000000(EdiCode,EsiData) \
__asm call JMP_CODE_TAB2_F_0000_CALLCODE_001 \
__asm JMP_CODE_TAB2_F_0000_RETCODE_000: \
__asm _emit 0x81 \
__asm _emit 0xce \
__asm JMP_CODE_TAB2_F_0000_CALLCODE_001: \
__asm sub dword ptr[esp], offset JMP_CODE_TAB2_F_0000_RETCODE_000 - 3100 \
__asm jz JMP_CODE_TAB2_F_0000_RETCODE_001 \
__asm call JMP_CODE_TAB2_F_0000_CALLCODE_002 \
__asm JMP_CODE_TAB2_F_0000_RETCODE_001: \
__asm _emit 0x81 \
__asm _emit 0xb5 \
__asm JMP_CODE_TAB2_F_0000_CALLCODE_004: \
__asm sub dword ptr[esp], offset JMP_CODE_TAB2_F_0000_RETCODE_003 + 725 \
__asm jz JMP_CODE_TAB2_F_0000_RETCODE_004 \
__asm call JMP_CODE_TAB2_F_0000_CALLCODE_005 \
__asm JMP_CODE_TAB2_F_0000_RETCODE_004: \
__asm _emit 0x81 \
__asm _emit 0xc5 \
__asm JMP_CODE_TAB2_F_0000_CALLCODE_013: \
__asm add esp,52 \
__asm add dword ptr[esp + -12],offset EdiCode - 3561 \
__asm jz JMP_CODE_TAB2_F_0000_RETCODE_013 \
__asm jmp [esp + -12] \
__asm JMP_CODE_TAB2_F_0000_RETCODE_013: \
__asm _emit 0x81 \
__asm _emit 0xae \
__asm JMP_CODE_TAB2_F_0000_CALLCODE_010: \
__asm sub dword ptr[esp], offset JMP_CODE_TAB2_F_0000_RETCODE_009 + 3343 \
__asm jz JMP_CODE_TAB2_F_0000_RETCODE_010 \
__asm call JMP_CODE_TAB2_F_0000_CALLCODE_011 \
__asm JMP_CODE_TAB2_F_0000_RETCODE_010: \
__asm _emit 0xf7 \
__asm _emit 0xfa \
__asm JMP_CODE_TAB2_F_0000_CALLCODE_009: \
__asm sub dword ptr[esp], offset JMP_CODE_TAB2_F_0000_RETCODE_008 + 313 \
__asm jz JMP_CODE_TAB2_F_0000_RETCODE_009 \
__asm call JMP_CODE_TAB2_F_0000_CALLCODE_010 \
__asm JMP_CODE_TAB2_F_0000_RETCODE_009: \
__asm _emit 0x81 \
__asm _emit 0x80 \
__asm JMP_CODE_TAB2_F_0000_CALLCODE_012: \
__asm sub dword ptr[esp], offset JMP_CODE_TAB2_F_0000_RETCODE_011 - 591 \
__asm jz JMP_CODE_TAB2_F_0000_RETCODE_012 \
__asm call JMP_CODE_TAB2_F_0000_CALLCODE_013 \
__asm JMP_CODE_TAB2_F_0000_RETCODE_012: \
__asm _emit 0xb9 \
__asm JMP_CODE_TAB2_F_0000_CALLCODE_005: \
__asm sub dword ptr[esp], offset JMP_CODE_TAB2_F_0000_RETCODE_004 + 979 \
__asm jz JMP_CODE_TAB2_F_0000_RETCODE_005 \
__asm call JMP_CODE_TAB2_F_0000_CALLCODE_006 \
__asm JMP_CODE_TAB2_F_0000_RETCODE_005: \
__asm _emit 0x81 \
__asm _emit 0x97 \
__asm JMP_CODE_TAB2_F_0000_CALLCODE_006: \
__asm sub dword ptr[esp], offset JMP_CODE_TAB2_F_0000_RETCODE_005 - 1835 \
__asm jz JMP_CODE_TAB2_F_0000_RETCODE_006 \
__asm call JMP_CODE_TAB2_F_0000_CALLCODE_007 \
__asm JMP_CODE_TAB2_F_0000_RETCODE_006: \
__asm _emit 0x81 \
__asm _emit 0x8c \
__asm JMP_CODE_TAB2_F_0000_CALLCODE_007: \
__asm sub dword ptr[esp], offset JMP_CODE_TAB2_F_0000_RETCODE_006 + 2925 \
__asm jz JMP_CODE_TAB2_F_0000_RETCODE_007 \
__asm call JMP_CODE_TAB2_F_0000_CALLCODE_008 \
__asm JMP_CODE_TAB2_F_0000_RETCODE_007: \
__asm _emit 0x81 \
__asm _emit 0xaf \
__asm JMP_CODE_TAB2_F_0000_CALLCODE_003: \
__asm sub dword ptr[esp], offset JMP_CODE_TAB2_F_0000_RETCODE_002 - 3561 \
__asm jz JMP_CODE_TAB2_F_0000_RETCODE_003 \
__asm call JMP_CODE_TAB2_F_0000_CALLCODE_004 \
__asm JMP_CODE_TAB2_F_0000_RETCODE_003: \
__asm _emit 0x0f \
__asm _emit 0x8B \
__asm JMP_CODE_TAB2_F_0000_CALLCODE_008: \
__asm sub dword ptr[esp], offset JMP_CODE_TAB2_F_0000_RETCODE_007 - 1082 \
__asm jz JMP_CODE_TAB2_F_0000_RETCODE_008 \
__asm call JMP_CODE_TAB2_F_0000_CALLCODE_009 \
__asm JMP_CODE_TAB2_F_0000_RETCODE_008: \
__asm _emit 0xf7 \
__asm _emit 0x81 \
__asm JMP_CODE_TAB2_F_0000_CALLCODE_002: \
__asm sub dword ptr[esp], offset JMP_CODE_TAB2_F_0000_RETCODE_001 - 1064 \
__asm jz JMP_CODE_TAB2_F_0000_RETCODE_002 \
__asm call JMP_CODE_TAB2_F_0000_CALLCODE_003 \
__asm JMP_CODE_TAB2_F_0000_RETCODE_002: \
__asm _emit 0x0f \
__asm _emit 0x88 \
__asm JMP_CODE_TAB2_F_0000_CALLCODE_011: \
__asm sub dword ptr[esp], offset JMP_CODE_TAB2_F_0000_RETCODE_010 + 3022 \
__asm jz JMP_CODE_TAB2_F_0000_RETCODE_011 \
__asm call JMP_CODE_TAB2_F_0000_CALLCODE_012 \
__asm JMP_CODE_TAB2_F_0000_RETCODE_011: \
__asm _emit 0x81 \
__asm _emit 0xb5

2015-9-26 22:25

0