-
-
未解决
[求助]VM加密过的代码, 要怎么处理才能跟踪到真正的代码段?
100.00雪花
-
发表于:
2022-12-25 22:09
7396
-
未解决 [求助]VM加密过的代码, 要怎么处理才能跟踪到真正的代码段?
100.00雪花
769B193B | FF15 48409B76 | call dword ptr ds:[<&NtDeviceIoControlFile>] |
769B1941 | 8BF0 | mov esi,eax |
如上,在769B193B处按F7,来到下面这段:
77942A20 | B8 07001B00 | mov eax,1B0007 |
77942A25 | BA 30889577 | mov edx,ntdll.77958830 |
77942A2A | FFD2 | call edx |
77942A2C | C2 2800 | ret 28 |
在77942A2A 处继续按F7, 来到下面这段:
778C7000 | EA 09708C77 3300 | jmp far 33:778C7009 | 0033:778C7009:sub_778C601D+FEC
778C7007 | 0000 | add byte ptr ds:[eax],al |
778C7009 | 41 | inc ecx |
778C700A | FFA7 F8000000 | jmp dword ptr ds:[edi+F8] |
问题来了, 在77942A2A 按F7或者F8,却直接返回到77942A2C 了,要怎么处理才能跟踪到真正的代码段呢?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2022-12-25 22:29
被serforev编辑
,原因: