来个高手看看-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 来个高手看看 0.00雪花

发表于: 2016-7-19 12:53 5324

[旧帖] 来个高手看看 0.00雪花

xjyangjm

2016-7-19 12:53

5324

地址       十六进制转储          命令                                     注释
00000000 5B             POP EBX
00000001 76 52          JBE SHORT 00000055
00000003 61             POPAD
00000004 6E             OUTS DX,BYTE PTR DS:[ESI]             ; I/O command
00000005 67:65:72 20    JB SHORT 00000029                      ; Superfluous address size prefix
00000009 50             PUSH EAX
0000000A 72 6F          JB SHORT 0000007B
0000000C 5D             POP EBP
0000000D 0D 0A50726F    OR EAX,6F72500A
00000012 64:75 63       JNE SHORT 00000078                      ; Superfluous segment override prefix
00000015 74 20          JE SHORT 00000037
00000017 6E             OUTS DX,BYTE PTR DS:[ESI]             ; I/O command
00000018 61             POPAD
00000019 6D             INS DWORD PTR ES:[EDI],DX             ; I/O command
0000001A 65:3D 7652616E CMP EAX,6E615276                      ; Superfluous segment override prefix
00000020 67:65:72 20    JB SHORT 00000044                      ; Superfluous address size prefix
00000024 50             PUSH EAX
00000025 72 6F          JB SHORT 00000096
00000027 0D 0A4C6963    OR EAX,63694C0A
0000002C 65:6E          OUTS DX,BYTE PTR GS:[ESI]             ; I/O command
0000002E 73 65          JAE SHORT 00000095
00000030 3D 3133332D    CMP EAX,2D333331
00000035 3232          XOR DH,BYTE PTR DS:[EDX]
00000037 332D 3231310D XOR EBP,DWORD PTR DS:[0D313132]
0000003D 0A56 65       OR DL,BYTE PTR DS:[ESI+65]
00000040 72 73          JB SHORT 000000B5
00000042 696F 6E 3D372E78 IMUL EBP,DWORD PTR DS:[EDI+6E],782E373D
00000049 0D 0A4C6963    OR EAX,63694C0A
0000004E 65:6E          OUTS DX,BYTE PTR GS:[ESI]             ; I/O command
00000050 73 65          JAE SHORT 000000B7
00000052 205479 70       AND BYTE PTR DS:[EDI*2+ECX+70],DL
00000056 65:3D 4F6E676F CMP EAX,6F676E4F                      ; Superfluous segment override prefix
0000005C 696E 67 0D0A4162 IMUL EBP,DWORD PTR DS:[ESI+67],62410A0D
00000063 6F             OUTS DX,DWORD PTR DS:[ESI]             ; I/O command
00000064 75 74          JNE SHORT 000000DA
00000066 54             PUSH ESP
00000067 65:78 74       JS SHORT 000000DE                      ; Superfluous segment override prefix
0000006A 3D 50726F64    CMP EAX,646F7250
0000006F 75 63          JNE SHORT 000000D4
00000071 74 3A          JE SHORT 000000AD
00000073 2076 52       AND BYTE PTR DS:[ESI+52],DH
00000076 61             POPAD
00000077 6E             OUTS DX,BYTE PTR DS:[ESI]             ; I/O command
00000078 67:65:72 20    JB SHORT 0000009C                      ; Superfluous address size prefix
0000007C 50             PUSH EAX
0000007D 72 6F          JB SHORT 000000EE
0000007F 25 30442530    AND EAX,30254430
00000084 41             INC ECX
00000085 56             PUSH ESI
00000086 65:72 73       JB SHORT 000000FC                      ; Superfluous segment override prefix
00000089 696F 6E 3A20372E IMUL EBP,DWORD PTR DS:[EDI+6E],2E37203A
00000090 78 25          JS SHORT 000000B7
00000092 304425 30       XOR BYTE PTR SS:[EBP+30],AL
00000096 41             INC ECX
00000097 25 30442530    AND EAX,30254430
0000009C 41             INC ECX
0000009D 4C             DEC ESP
0000009E 6963 65 6E736520 IMUL ESP,DWORD PTR DS:[EBX+65],2065736E
000000A5 4E             DEC ESI
000000A6 75 6D          JNE SHORT 00000115
000000A8 6265 72       BOUND ESP,QWORD PTR SS:[EBP+72]
000000AB 3A20          CMP AH,BYTE PTR DS:[EAX]
000000AD 3133          XOR DWORD PTR DS:[EBX],ESI
000000AF 332D 3232332D XOR EBP,DWORD PTR DS:[2D333232]
000000B5 3231          XOR DH,BYTE PTR DS:[ECX]
000000B7 3125 30442530 XOR DWORD PTR DS:[30254430],ESP
000000BD 41             INC ECX
000000BE 25 30442530    AND EAX,30254430
000000C3 41             INC ECX
000000C4 43             INC EBX
000000C5 50             PUSH EAX
000000C6 55             PUSH EBP
000000C7 2053 6F       AND BYTE PTR DS:[EBX+6F],DL
000000CA 636B 65       ARPL WORD PTR DS:[EBX+65],BP
000000CD 74 73          JE SHORT 00000142
000000CF 3A20          CMP AH,BYTE PTR DS:[EAX]
000000D1 3238          XOR BH,BYTE PTR DS:[EAX]
000000D3 25 30442530    AND EAX,30254430
000000D8 41             INC ECX
000000D9 25 30442530    AND EAX,30254430
000000DE 41             INC ECX
000000DF 4C             DEC ESP
000000E0 6963 65 6E736520 IMUL ESP,DWORD PTR DS:[EBX+65],2065736E
000000E7 54             PUSH ESP
000000E8 79 70          JNS SHORT 0000015A
000000EA 65:3A20       CMP AH,BYTE PTR GS:[EAX]
000000ED 4F             DEC EDI
000000EE 6E             OUTS DX,BYTE PTR DS:[ESI]             ; I/O command
000000EF 67:6F          OUTS DX,DWORD PTR DS:[SI]             ; I/O command
000000F1 696E 67 25304425 IMUL EBP,DWORD PTR DS:[ESI+67],25443025
000000F8 3041 25       XOR BYTE PTR DS:[ECX+25],AL
000000FB 304425 30       XOR BYTE PTR SS:[EBP+30],AL
000000FF 41             INC ECX
00000100 0D 0A435055    OR EAX,5550430A
00000105 2053 6F       AND BYTE PTR DS:[EBX+6F],DL
00000108 636B 65       ARPL WORD PTR DS:[EBX+65],BP
0000010B 74 73          JE SHORT 00000180
0000010D 3D 32380D0A    CMP EAX,0A0D3832
00000112 50             PUSH EAX
00000113 68 79736963    PUSH 63697379
00000118 61             POPAD
00000119 6C             INS BYTE PTR ES:[EDI],DX                ; I/O command
0000011A 204D 61       AND BYTE PTR SS:[EBP+61],CL
0000011D 6368 69       ARPL WORD PTR DS:[EAX+69],BP
00000120 6E             OUTS DX,BYTE PTR DS:[ESI]             ; I/O command
00000121 65:73 3D       JAE SHORT 00000161                      ; Superfluous segment override prefix
00000124 300D 0A536967 XOR BYTE PTR DS:[6769530A],CL
0000012A 6E             OUTS DX,BYTE PTR DS:[ESI]             ; I/O command
0000012B 61             POPAD
0000012C 74 75          JE SHORT 000001A3
0000012E 72 65          JB SHORT 00000195
00000130 3D 32303234    CMP EAX,34323032
00000135 3042 30       XOR BYTE PTR DS:[EDX+30],AL
00000138 42             INC EDX
00000139 36             SS:                                     ; Two prefixes from the same group
0000013A 36:34 46       XOR AL,46                               ; Superfluous segment override prefix
0000013D 45             INC EBP
0000013E 35 43434138    XOR EAX,38414343
00000143 36:45          INC EBP                               ; Superfluous segment override prefix
00000145 3037          XOR BYTE PTR DS:[EDI],DH
00000147 36:3237       XOR DH,BYTE PTR SS:[EDI]
0000014A 44             INC ESP
0000014B 46             INC ESI
0000014C 3342 37       XOR EAX,DWORD PTR DS:[EDX+37]
0000014F 35 42383838    XOR EAX,38383842
00000154 3231          XOR DH,BYTE PTR DS:[ECX]
00000156 42             INC EDX
00000157 313446          XOR DWORD PTR DS:[EAX*2+ESI],ESI
0000015A 334441 32       XOR EAX,DWORD PTR DS:[EAX*2+ECX+32]
0000015E 3939          CMP DWORD PTR DS:[ECX],EDI
00000160 3033          XOR BYTE PTR DS:[EBX],DH
00000162 3133          XOR DWORD PTR DS:[EBX],ESI
00000164 3238          XOR BH,BYTE PTR DS:[EAX]
00000166 42             INC EDX
00000167 394442 43       CMP DWORD PTR DS:[EAX*2+EDX+43],EAX
0000016B 37             AAA
0000016C 34 32          XOR AL,32
0000016E 3333          XOR ESI,DWORD PTR DS:[EBX]
00000170 37             AAA
00000171 42             INC EDX
00000172 37             AAA
00000173 44             INC ESP
00000174 43             INC EBX
00000175 3032          XOR BYTE PTR DS:[EDX],DH
00000177 42             INC EDX
00000178 3241 35       XOR AL,BYTE PTR DS:[ECX+35]
0000017B 35 31433146    XOR EAX,46314331
00000180 3938          CMP DWORD PTR DS:[EAX],EDI
00000182 41             INC ECX
00000183 3343 37       XOR EAX,DWORD PTR DS:[EBX+37]
00000186 42             INC EDX
00000187 46             INC ESI
00000188 41             INC ECX
00000189 3043 36       XOR BYTE PTR DS:[EBX+36],AL
0000018C 46             INC ESI
0000018D 3035 34324645 XOR BYTE PTR DS:[45463234],DH
00000193 43             INC EBX
00000194 37             AAA
00000195 3936          CMP DWORD PTR DS:[ESI],ESI
00000197 3937          CMP DWORD PTR DS:[EDI],ESI
00000199 3230          XOR DH,BYTE PTR DS:[EAX]
0000019B 36             SS:                                     ; Two prefixes from the same group
0000019C 36:44          INC ESP                               ; Superfluous segment override prefix
0000019E 303432          XOR BYTE PTR DS:[ESI+EDX],DH
000001A1 3037          XOR BYTE PTR DS:[EDI],DH
000001A3 3339          XOR EDI,DWORD PTR DS:[ECX]
000001A5 3243 42       XOR AL,BYTE PTR DS:[EBX+42]
000001A8 44             INC ESP
000001A9 37             AAA
000001AA 45             INC EBP
000001AB 43             INC EBX
000001AC 3337          XOR ESI,DWORD PTR DS:[EDI]
000001AE 3836          CMP BYTE PTR DS:[ESI],DH
000001B0 330D0A          ???                                     ; Command crosses end of memory block

我要改：0000010D 3D 32380D0A    CMP EAX,0A0D3832这里的32380D0A值，和它相关的还要改哪些才有效？

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・2

免费・0

支持

最新回复 (6)
wofan[OCN] 雪币： 2899 活跃值： (1753) 能力值： ( LV9，RANK：850 ) 在线值：发帖 55 回帖 810 粉丝 8 关注私信	wofan[OCN] 21 2 楼和一个常数0x0A0D3832 cmp,改常数随便你改啊，一个常数能和谁有关呢？ 2016-7-19 15:28 0
xjyangjm 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	xjyangjm 3 楼 [QUOTE='wofan[OCN];1437585']和一个常数0x0A0D3832 cmp,改常数随便你改啊，一个常数能和谁有关呢？[/QUOTE] 里面的数字有关联的 2016-7-19 18:53 0
xjyangjm 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	xjyangjm 4 楼 [QUOTE='wofan[OCN];1437585']和一个常数0x0A0D3832 cmp,改常数随便你改啊，一个常数能和谁有关呢？[/QUOTE] 000000D1 3238 XOR BH,BYTE PTR DS:[EAX]还有这里 2016-7-19 18:54 0
老伙计雪币： 817 活跃值： (2068) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 605 粉丝 11 关注私信	老伙计 5 楼楼主你是不是晕头了，正常情况下会出现这样的指令？这些指令你确定能跟踪？？？ 000000AB 3A20 CMP AH,BYTE PTR DS:[EAX] 这可不是一般的不合逻辑！！！ 2016-7-20 01:10 0
风间仁雪币： 28965 活跃值： (7448) 能力值： ( LV15，RANK：3306 ) 在线值：发帖 111 回帖 591 粉丝 80 关注私信	风间仁 19 6 楼就一个字符串为什么要贴成汇编代码……，估计是个ini字符串吧, 改完估计后面的字符串都得往后移了 2016-7-20 10:01 0
老伙计雪币： 817 活跃值： (2068) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 605 粉丝 11 关注私信	老伙计 7 楼 [vRanger Pro] Product name=vRanger Pro License=133-222-211 Version=7.x License Type=Ongoing AboutText=Product: vRanger Pro%0D%0AVersion: 7.x%0D%0A%0D%0ALicense Number: 133-223-211%0D%0A%0D%0ACPU Sockets: 28%0D%0A%0D%0ALicense Type: Ongoing%0D%0A%0D%0A CPU Sockets=28 Physical Machines=0 Signature=20240B0B664FE5CCA86E07627DF2B75B88821B14F3DA299031328B9DBC742337B7DC02B2A551C1F98A3C7BFA0C6F0542FEC796972066D04207392CBD7EC37863 楼主，你反汇编的难道就是这个东西吗？？？还要修改指令？我都羞死了！！！ 2016-7-20 13:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xjyangjm

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (6)
wofan[OCN] 雪币： 2899 活跃值： (1753) 能力值： ( LV9，RANK：850 ) 在线值：发帖 55 回帖 810 粉丝 8 关注私信	wofan[OCN] 21 2 楼和一个常数0x0A0D3832 cmp,改常数随便你改啊，一个常数能和谁有关呢？ 2016-7-19 15:28 0
xjyangjm 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	xjyangjm 3 楼 [QUOTE='wofan[OCN];1437585']和一个常数0x0A0D3832 cmp,改常数随便你改啊，一个常数能和谁有关呢？[/QUOTE] 里面的数字有关联的 2016-7-19 18:53 0
xjyangjm 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	xjyangjm 4 楼 [QUOTE='wofan[OCN];1437585']和一个常数0x0A0D3832 cmp,改常数随便你改啊，一个常数能和谁有关呢？[/QUOTE] 000000D1 3238 XOR BH,BYTE PTR DS:[EAX]还有这里 2016-7-19 18:54 0
老伙计雪币： 817 活跃值： (2068) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 605 粉丝 11 关注私信	老伙计 5 楼楼主你是不是晕头了，正常情况下会出现这样的指令？这些指令你确定能跟踪？？？ 000000AB 3A20 CMP AH,BYTE PTR DS:[EAX] 这可不是一般的不合逻辑！！！ 2016-7-20 01:10 0
风间仁雪币： 28965 活跃值： (7448) 能力值： ( LV15，RANK：3306 ) 在线值：发帖 111 回帖 591 粉丝 80 关注私信	风间仁 19 6 楼就一个字符串为什么要贴成汇编代码……，估计是个ini字符串吧, 改完估计后面的字符串都得往后移了 2016-7-20 10:01 0
老伙计雪币： 817 活跃值： (2068) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 605 粉丝 11 关注私信	老伙计 7 楼 [vRanger Pro] Product name=vRanger Pro License=133-222-211 Version=7.x License Type=Ongoing AboutText=Product: vRanger Pro%0D%0AVersion: 7.x%0D%0A%0D%0ALicense Number: 133-223-211%0D%0A%0D%0ACPU Sockets: 28%0D%0A%0D%0ALicense Type: Ongoing%0D%0A%0D%0A CPU Sockets=28 Physical Machines=0 Signature=20240B0B664FE5CCA86E07627DF2B75B88821B14F3DA299031328B9DBC742337B7DC02B2A551C1F98A3C7BFA0C6F0542FEC796972066D04207392CBD7EC37863 楼主，你反汇编的难道就是这个东西吗？？？还要修改指令？我都羞死了！！！ 2016-7-20 13:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复