首页
社区
课程
招聘
[求助]诡异的跳转指令,请高手帮忙解释......
发表于: 2006-7-11 14:18 4118

[求助]诡异的跳转指令,请高手帮忙解释......

2006-7-11 14:18
4118
程序加了壳,用PEid查看是:
UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo

用OD调试,找popad,直接到OEP处.dump出exe 文件.然后准备修复IAT.找到一个API调用
00401447                      52               push edx
00401448                      6A 00            push 0
0040144A                      E8 7D361200      call game.00524ACC        ; jmp to kernel32.GetModuleHandleA

按F7到 00524ACC处,发现OD无法解释为汇编指令,看来应该是数据,可是再按F7 发现跳转到GetModuleHandleA函数地址了???

00524ACC  FF 25 B0 73 55 00 FF 25  ?绑U.?
00524AD4  B4 73 55 00 FF 25 B8 73  大U.?阁
00524ADC  55 00 FF 25 BC 73 55 00  U.?俭U.

更加奇怪的是这个地址里面的内容每次运行的时候都不一样...

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
2
right click
remove analysis from object
2006-7-11 16:14
0
雪    币: 213
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
终于搞好了,谢谢斑竹
2006-7-11 16:53
0
游客
登录 | 注册 方可回帖
返回
//