[求助]into指令-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]into指令

发表于: 2016-3-19 10:58 3396

[求助]into指令

赵建新

2016-3-19 10:58

3396

048D2170 E8 6F540600 call 049375E4
048D2175 CE into
048D2176 8BC8 mov ecx,eax
048D2178 E8 C3F3FFFF call 048D1540
048D217D 85C0 test eax,eax
048D217F 75 27 jnz short 048D21A8
048D2181 3946 04 cmp dword ptr ds:[esi+0x4],eax
048D2184 74 22 je short 048D21A8
048D2186 BA A0A68E04 mov edx,0x48EA6A0
048D218B 8BCE mov ecx,esi
048D218D E8 3EF3FFFF call 048D14D0
048D2192 83F8 FF cmp eax,-0x1
048D2195 74 11 je short 048D21A8
048D2197 8B4E 04 mov ecx,dword ptr ds:[esi+0x4]
048D219A F3: prefix rep:
048D219B 0F6F05 F0F28E04 movq mm0,qword ptr ds:[0x48EF2F0]
048D21A2 F3: prefix rep:
048D21A3 0F7F4441 F0 movq qword ptr ds:[ecx+eax*2-0x10],mm0
048D21A8 8BC3 mov eax,ebx
048D21AA 5F pop edi
048D21AB 5E pop esi
048D21AC 5B pop ebx
048D21AD 5D pop ebp
048D21AE C2 1400 retn 0x14

在我逆别人的程序里边有那样一段代码，代码大概就是HOOK某个函数，然后在新函数执行的时候into了一下，当时我跟进是按F8就飞走了。
听说这个是HOOK敏感函数时免杀用的，是这样吗。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (3)
czcqq 雪币： 350 活跃值： (87) 能力值： ( LV7，RANK：110 ) 在线值：发帖 6 回帖 295 粉丝 3 关注私信	czcqq 2 2 楼不是啊！INT系列的指令是调用内核的指令啊!INT0我记得内核是没有注册处理函数的，这样调用是没有用的！ 2016-3-19 18:58 0
Rookietp 雪币： 1042 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 3 楼是不是产生异常 2016-3-20 20:42 0
赵建新雪币： 8 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 156 回帖 410 粉丝 1 关注私信	赵建新 4 楼帮我看看刚刚那个问题，弄了一天了，感谢 2016-3-20 21:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

赵建新

156

发帖

410

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
czcqq 雪币： 350 活跃值： (87) 能力值： ( LV7，RANK：110 ) 在线值：发帖 6 回帖 295 粉丝 3 关注私信	czcqq 2 2 楼不是啊！INT系列的指令是调用内核的指令啊!INT0我记得内核是没有注册处理函数的，这样调用是没有用的！ 2016-3-19 18:58 0
Rookietp 雪币： 1042 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 3 楼是不是产生异常 2016-3-20 20:42 0
赵建新雪币： 8 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 156 回帖 410 粉丝 1 关注私信	赵建新 4 楼帮我看看刚刚那个问题，弄了一天了，感谢 2016-3-20 21:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复