[求助]诡异的跳转指令,请高手帮忙解释......-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]诡异的跳转指令,请高手帮忙解释......

发表于: 2006-7-11 14:18 4121

[求助]诡异的跳转指令,请高手帮忙解释......

vfbf

2006-7-11 14:18

4121

程序加了壳,用PEid查看是:
UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo

用OD调试,找popad,直接到OEP处.dump出exe 文件.然后准备修复IAT.找到一个API调用
00401447                   52             push edx
00401448                   6A 00          push 0
0040144A                   E8 7D361200    call game.00524ACC       ; jmp to kernel32.GetModuleHandleA

按F7到 00524ACC处,发现OD无法解释为汇编指令,看来应该是数据,可是再按F7 发现跳转到GetModuleHandleA函数地址了???

00524ACC  FF 25 B0 73 55 00 FF 25  ?绑U.?
00524AD4  B4 73 55 00 FF 25 B8 73  大U.?阁
00524ADC  55 00 FF 25 BC 73 55 00  U.?俭U.

更加奇怪的是这个地址里面的内容每次运行的时候都不一样...

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (2)
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 2 楼 right click remove analysis from object 2006-7-11 16:14 0
vfbf 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 34 粉丝 0 关注私信	vfbf 3 楼终于搞好了，谢谢斑竹 2006-7-11 16:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

vfbf

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 2 楼 right click remove analysis from object 2006-7-11 16:14 0
vfbf 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 34 粉丝 0 关注私信	vfbf 3 楼终于搞好了，谢谢斑竹 2006-7-11 16:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复