-
-
[求助]诡异的跳转指令,请高手帮忙解释......
-
发表于:
2006-7-11 14:18
4118
-
[求助]诡异的跳转指令,请高手帮忙解释......
程序加了壳,用PEid查看是:
UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo
用OD调试,找popad,直接到OEP处.dump出exe 文件.然后准备修复IAT.找到一个API调用
00401447 52 push edx
00401448 6A 00 push 0
0040144A E8 7D361200 call game.00524ACC ; jmp to kernel32.GetModuleHandleA
按F7到 00524ACC处,发现OD无法解释为汇编指令,看来应该是数据,可是再按F7 发现跳转到GetModuleHandleA函数地址了???
00524ACC FF 25 B0 73 55 00 FF 25 ?绑U.?
00524AD4 B4 73 55 00 FF 25 B8 73 大U.?阁
00524ADC 55 00 FF 25 BC 73 55 00 U.?俭U.
更加奇怪的是这个地址里面的内容每次运行的时候都不一样...
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!