请问这段汇编是什么意思?如何跟踪?-经典问答-看雪-安全社区|安全招聘|kanxue.com

请问这段汇编是什么意思?如何跟踪?

发表于: 2006-12-6 00:14 4898

请问这段汇编是什么意思?如何跟踪?

网上续缘

2006-12-6 00:14

4898

3267DA14 >  55             PUSH EBP
3267DA15 8BEC          MOV EBP,ESP
3267DA17 83C4 F4       ADD ESP,-0C
3267DA1A 53             PUSH EBX
3267DA1B 56             PUSH ESI
3267DA1C 57             PUSH EDI
3267DA1D 8B75 08       MOV ESI,DWORD PTR SS:[EBP+8]
3267DA20 8B46 10       MOV EAX,DWORD PTR DS:[ESI+10]
3267DA23 83E0 01       AND EAX,1
3267DA26 A3 649A6A32    MOV DWORD PTR DS:[326A9A64],EAX
3267DA2B E8 DC5EFFFF    CALL CC3260MT.__fpreset
3267DA30 8B56 20       MOV EDX,DWORD PTR DS:[ESI+20]
3267DA33 52             PUSH EDX
3267DA34 8B4E 1C       MOV ECX,DWORD PTR DS:[ESI+1C]
3267DA37 51             PUSH ECX
3267DA38 E8 6769FFFF    CALL CC3260MT.326743A4
3267DA3D 83C4 08       ADD ESP,8
3267DA40 8B46 28       MOV EAX,DWORD PTR DS:[ESI+28]
3267DA43 50             PUSH EAX
3267DA44 E8 E337FEFF    CALL CC3260MT.3266122C
3267DA49 59             POP ECX
3267DA4A 8B56 44       MOV EDX,DWORD PTR DS:[ESI+44]
3267DA4D 52             PUSH EDX
3267DA4E E8 E937FEFF    CALL CC3260MT.3266123C
3267DA53 59             POP ECX
3267DA54 C705 44D76A32 0>MOV DWORD PTR DS:[326AD744],1
3267DA5E 8935 48D76A32 MOV DWORD PTR DS:[326AD748],ESI
3267DA64 8D4D F8       LEA ECX,DWORD PTR SS:[EBP-8]
3267DA67 890D 2CD76A32 MOV DWORD PTR DS:[326AD72C],ECX
3267DA6D E8 D600FEFF    CALL CC3260MT.3265DB48
3267DA72 E8 AF6D0000    CALL <JMP.&KERNEL32.GetEnvironmentString>
3267DA77 A3 1CD76A32    MOV DWORD PTR DS:[__osenv],EAX
3267DA7C E8 576D0000    CALL <JMP.&KERNEL32.GetCommandLineA>
3267DA81 A3 18D76A32    MOV DWORD PTR DS:[__oscmd],EAX
3267DA86 8B46 30       MOV EAX,DWORD PTR DS:[ESI+30]
3267DA89 50             PUSH EAX
3267DA8A 8B56 2C       MOV EDX,DWORD PTR DS:[ESI+2C]
3267DA8D 52             PUSH EDX
3267DA8E E8 EDD1FFFF    CALL CC3260MT.3267AC80
3267DA93 83C4 08       ADD ESP,8
3267DA96 8B4E 40       MOV ECX,DWORD PTR DS:[ESI+40]
3267DA99 51             PUSH ECX
3267DA9A 8B46 3C       MOV EAX,DWORD PTR DS:[ESI+3C]
3267DA9D 50             PUSH EAX
3267DA9E 8B56 38       MOV EDX,DWORD PTR DS:[ESI+38]
3267DAA1 52             PUSH EDX
3267DAA2 8B4E 34       MOV ECX,DWORD PTR DS:[ESI+34]
3267DAA5 51             PUSH ECX
3267DAA6 E8 A1D3FFFF    CALL CC3260MT.3267AE4C
3267DAAB 83C4 10       ADD ESP,10
3267DAAE E8 E5FDFFFF    CALL CC3260MT.3267D898
3267DAB3 8BF8          MOV EDI,EAX
3267DAB5 85C0          TEST EAX,EAX
3267DAB7 74 3A          JE SHORT CC3260MT.3267DAF3
3267DAB9 8B17          MOV EDX,DWORD PTR DS:[EDI]
3267DABB C74497 04 FFFFF>MOV DWORD PTR DS:[EDI+EDX*4+4],-1
3267DAC3 6A 00          PUSH 0
3267DAC5 57             PUSH EDI
3267DAC6 E8 D5FDFFFF    CALL CC3260MT.3267D8A0
3267DACB 83C4 08       ADD ESP,8
3267DACE 33C9          XOR ECX,ECX
3267DAD0 894D F4       MOV DWORD PTR SS:[EBP-C],ECX
3267DAD3 8D5F 04       LEA EBX,DWORD PTR DS:[EDI+4]
3267DAD6 EB 14          JMP SHORT CC3260MT.3267DAEC
3267DAD8 8B03          MOV EAX,DWORD PTR DS:[EBX]
3267DADA 8B50 14       MOV EDX,DWORD PTR DS:[EAX+14]
3267DADD 52             PUSH EDX
3267DADE 6A 00          PUSH 0
3267DAE0 FF50 18       CALL DWORD PTR DS:[EAX+18]
3267DAE3 83C4 08       ADD ESP,8
3267DAE6 FF45 F4       INC DWORD PTR SS:[EBP-C]
3267DAE9 83C3 04       ADD EBX,4
3267DAEC 8B0F          MOV ECX,DWORD PTR DS:[EDI]
3267DAEE 3B4D F4       CMP ECX,DWORD PTR SS:[EBP-C]
3267DAF1  ^ 7F E5          JG SHORT CC3260MT.3267DAD8
3267DAF3 6A 00          PUSH 0
3267DAF5 68 44D76A32    PUSH CC3260MT.326AD744
3267DAFA E8 A1FDFFFF    CALL CC3260MT.3267D8A0
3267DAFF 83C4 08       ADD ESP,8
3267DB02 F646 10 01    TEST BYTE PTR DS:[ESI+10],1
3267DB06 74 67          JE SHORT CC3260MT.3267DB6F
3267DB08 8B1D 18D76A32 MOV EBX,DWORD PTR DS:[__oscmd]
3267DB0E EB 01          JMP SHORT CC3260MT.3267DB11
3267DB10 43             INC EBX
3267DB11 8A03          MOV AL,BYTE PTR DS:[EBX]
3267DB13 3C 20          CMP AL,20
3267DB15  ^ 74 F9          JE SHORT CC3260MT.3267DB10
3267DB17 3C 09          CMP AL,9
3267DB19  ^ 74 F5          JE SHORT CC3260MT.3267DB10
3267DB1B 803B 22       CMP BYTE PTR DS:[EBX],22
3267DB1E 75 05          JNZ SHORT CC3260MT.3267DB25
3267DB20 B2 22          MOV DL,22
3267DB22 43             INC EBX
3267DB23 EB 05          JMP SHORT CC3260MT.3267DB2A
3267DB25 B2 20          MOV DL,20
3267DB27 EB 01          JMP SHORT CC3260MT.3267DB2A
3267DB29 43             INC EBX
3267DB2A 8A03          MOV AL,BYTE PTR DS:[EBX]
3267DB2C 84C0          TEST AL,AL
3267DB2E 74 08          JE SHORT CC3260MT.3267DB38
3267DB30 3AD0          CMP DL,AL
3267DB32 74 04          JE SHORT CC3260MT.3267DB38
3267DB34 3C 09          CMP AL,9
3267DB36  ^ 75 F1          JNZ SHORT CC3260MT.3267DB29
3267DB38 803B 22       CMP BYTE PTR DS:[EBX],22
3267DB3B 75 04          JNZ SHORT CC3260MT.3267DB41
3267DB3D 43             INC EBX
3267DB3E EB 01          JMP SHORT CC3260MT.3267DB41
3267DB40 43             INC EBX
3267DB41 8A03          MOV AL,BYTE PTR DS:[EBX]
3267DB43 84C0          TEST AL,AL
3267DB45 74 04          JE SHORT CC3260MT.3267DB4B
3267DB47 3C 20          CMP AL,20
3267DB49  ^ 74 F5          JE SHORT CC3260MT.3267DB40
3267DB4B 3C 09          CMP AL,9
3267DB4D  ^ 74 F1          JE SHORT CC3260MT.3267DB40
3267DB4F E8 44000000    CALL CC3260MT.3267DB98
3267DB54 50             PUSH EAX
3267DB55 53             PUSH EBX
3267DB56 6A 00          PUSH 0
3267DB58 6A 00          PUSH 0
3267DB5A E8 336D0000    CALL <JMP.&KERNEL32.GetModuleHandleA>
3267DB5F 50             PUSH EAX
3267DB60 FF56 18       CALL DWORD PTR DS:[ESI+18]

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・0

免费・0

支持

最新回复 (7)
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 2 楼 EP？ 2006-12-6 10:04 0
城市游侠雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	城市游侠 3 楼不好意思,我也是初学汇编,跟踪CALL看看 2006-12-6 10:14 0
jjnet 雪币： 101 活跃值： (12) 能力值： ( LV12，RANK：210 ) 在线值：发帖 28 回帖 503 粉丝 0 关注私信	jjnet 5 4 楼看起来象某中语言的运行库。在蹦到winmain之前做的初始化操作。 2006-12-6 17:42 0
网上续缘雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 21 粉丝 0 关注私信	网上续缘 5 楼好象是检测硬件加密狗是否授权,校核授权文件内容的程序那位高人帮忙注释一下嘛.汇编语言偶看不懂. 2006-12-6 20:25 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 6 楼 WHAT? CALL <JMP.&KERNEL32.GetCommandLineA> CALL <JMP.&KERNEL32.GetModuleHandleA> 这两句是EP的特征，你不会是用OD打开程序，然后直接在EP把代码都复制过来吧？ 2006-12-6 20:44 0
网上续缘雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 21 粉丝 0 关注私信	网上续缘 7 楼就是那样复制的,正确的应该怎么做????? 2006-12-6 21:17 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 8 楼学习汇编，学习调试 2006-12-6 21:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

网上续缘

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (7)
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 2 楼 EP？ 2006-12-6 10:04 0
城市游侠雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	城市游侠 3 楼不好意思,我也是初学汇编,跟踪CALL看看 2006-12-6 10:14 0
jjnet 雪币： 101 活跃值： (12) 能力值： ( LV12，RANK：210 ) 在线值：发帖 28 回帖 503 粉丝 0 关注私信	jjnet 5 4 楼看起来象某中语言的运行库。在蹦到winmain之前做的初始化操作。 2006-12-6 17:42 0
网上续缘雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 21 粉丝 0 关注私信	网上续缘 5 楼好象是检测硬件加密狗是否授权,校核授权文件内容的程序那位高人帮忙注释一下嘛.汇编语言偶看不懂. 2006-12-6 20:25 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 6 楼 WHAT? CALL <JMP.&KERNEL32.GetCommandLineA> CALL <JMP.&KERNEL32.GetModuleHandleA> 这两句是EP的特征，你不会是用OD打开程序，然后直接在EP把代码都复制过来吧？ 2006-12-6 20:44 0
网上续缘雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 21 粉丝 0 关注私信	网上续缘 7 楼就是那样复制的,正确的应该怎么做????? 2006-12-6 21:17 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 8 楼学习汇编，学习调试 2006-12-6 21:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复