-
-
[讨论]碰到这种,如何溯源是谁jmp到1902760?
-
2022-5-23 19:55
-
已知:
⑴看1902774这行:[esp+04]的值是edx赋值的,我们的目标是向上溯源edx的值是谁赋值的(仅当edx==100bd6时)
⑵步进到函数返回,对这种是不行的,因为190278C:ret返回的是1467367,而1467364并没有直接call 1902760这个地址(推测是call了另一个地址,在那里修改了edx,再jmp到1902760)
那么这种情况,如何找到是谁jmp到1902760的呢?有几百个函数jmp到这里,所以不知道是哪个,大虾都是如何溯源这种的?
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
