-
-
[求助]诡异的跳转指令,请高手帮忙解释......
-
2006-7-11 14:18
3801
-
[求助]诡异的跳转指令,请高手帮忙解释......
程序加了壳,用PEid查看是:
UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo
用OD调试,找popad,直接到OEP处.dump出exe 文件.然后准备修复IAT.找到一个API调用
00401447 52 push edx
00401448 6A 00 push 0
0040144A E8 7D361200 call game.00524ACC ; jmp to kernel32.GetModuleHandleA
按F7到 00524ACC处,发现OD无法解释为汇编指令,看来应该是数据,可是再按F7 发现跳转到GetModuleHandleA函数地址了???
00524ACC FF 25 B0 73 55 00 FF 25 ?绑U.?
00524AD4 B4 73 55 00 FF 25 B8 73 大U.?阁
00524ADC 55 00 FF 25 BC 73 55 00 U.?俭U.
更加奇怪的是这个地址里面的内容每次运行的时候都不一样...
[培训]科锐软件逆向50期预科班报名即将截止,速来!!! 50期正式班报名火爆招生中!!!
