首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]请教本地调用来自....
发表于: 2018-3-3 01:49 3031

[求助]请教本地调用来自....

vcvip 活跃值
2018-3-3 01:49
3031
 请教各位,根据一些特征定位到了一个call名字fun1,od分析显示“本地调用来自"有两个地址a1,a2,分别在两个地址处下断,却不是这两个地址发起对fun1的调用,用ctrl+f9返回却发现指向了一段db 定义的数据,db 上一行是一条jmp 向上跳转,向上跟踪也没有发现fun1的调用,本人小白求指点如何找到是哪里发起的调用? 而且用alt+K显示堆栈调用为空。因为在fun1的最后retn 一个大数字,堆栈中压入的数据多达几十个,是不是表示关键call还在上一层?多谢!

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (7)
PYGame
雪    币: 2473
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
如果代码虚拟化了  你这种方法找到明年也找不到
2018-3-3 02:16
0
vcvip
雪    币: 194
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
PYGame 如果代码虚拟化了 你这种方法找到明年也找不到
谢谢,估计是你说的这个原因,那要怎么样才能在正月十六就找到?
2018-3-3 02:18
0
vcvip
雪    币: 194
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
忘记补充一句了,这个程序确实是有vmp的壳,我估计关键call就在附近了,我测试的时候能断到我找到的fun1,想向上再找,要怎么弄?
2018-3-3 02:20
0
PYGame
雪    币: 2473
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
赶项目?    如果没猜错的话  现在  当下  也就是此时此刻就是正月十六了吧好像?

如果真的虚拟化了  你找到调用者也没有用  因为调用者  多半也虚拟化了 
运气好的话调用者可能没有虚拟化  你可以试试
2018-3-3 02:24
0
vcvip
雪    币: 194
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
谢谢!正月十六还有十几个小时哈
每次找到的fun1函数和执行完跳转到的那一段都是固定的,甚至地址差不多都是固定的,你说的可以试试,是要怎么试啊。  试了个ollycalltrace也没有半点反应
2018-3-3 06:03
0
sjh_pediy
雪    币: 288
活跃值: (269)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
7
我觉得吃元宵还是更加简单一点.
2018-3-3 07:18
0
vcvip
雪    币: 194
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
sjh_pediy 我觉得吃元宵还是更加简单一点.
元宵已经在昨天吃了
2018-3-3 07:33
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//