首页
社区
课程
招聘
[旧帖] 各位大哥请帮我找一下这段代码的关键点,好吗? 0.00雪花
发表于: 2006-12-6 23:16 3999

[旧帖] 各位大哥请帮我找一下这段代码的关键点,好吗? 0.00雪花

2006-12-6 23:16
3999
这个是重启验证的,我找了好久都不行
怎么图片不显示呀

004568E5  |.  6A 40                         PUSH 40
004568E7  |.  68 606A4500                   PUSH Unpacked.00456A60
004568EC  |.  68 6C6A4500                   PUSH Unpacked.00456A6C
004568F1  |.  A1 18AC4500                   MOV EAX,DWORD PTR DS:[45AC18]
004568F6  |.  E8 1945FEFF                   CALL Unpacked.0043AE14
004568FB  |.  50                            PUSH EAX                                 ; |hOwner
004568FC  |.  E8 DBFEFAFF                   CALL <JMP.&user32.MessageBoxA>           ; \MessageBoxA
00456901  |.  E9 1F010000                   JMP Unpacked.00456A25
00456906  |>  8D55 F8                       LEA EDX,DWORD PTR SS:[EBP-8]
00456909  |.  B8 946A4500                   MOV EAX,Unpacked.00456A94                ;  ASCII "XFNvZnR3YXJlXE1pY3Jvc29mdFxXaW5kb3dzXEN1cnJlbnRWZXJzaW9uXEV4cGxvcmVyXE1pY3Jvc29mdA=="
0045690E  |.  E8 BDECFFFF                   CALL Unpacked.004555D0
00456913  |.  8B55 F8                       MOV EDX,DWORD PTR SS:[EBP-8]
00456916  |.  B1 01                         MOV CL,1
00456918  |.  8BC6                          MOV EAX,ESI
0045691A  |.  E8 7939FDFF                   CALL Unpacked.0042A298
0045691F  |.  84C0                          TEST AL,AL
00456921  |.  75 2A                         JNZ SHORT Unpacked.0045694D
00456923  |.  8D55 F4                       LEA EDX,DWORD PTR SS:[EBP-C]
00456926  |.  8B83 0C030000                 MOV EAX,DWORD PTR DS:[EBX+30C]
0045692C  |.  E8 07DDFDFF                   CALL Unpacked.00434638
00456931  |.  8B45 F4                       MOV EAX,DWORD PTR SS:[EBP-C]
00456934  |.  50                            PUSH EAX
00456935  |.  8D55 F0                       LEA EDX,DWORD PTR SS:[EBP-10]
00456938  |.  B8 F46A4500                   MOV EAX,Unpacked.00456AF4                ;  ASCII "RmlsZU5hbWU="
0045693D  |.  E8 8EECFFFF                   CALL Unpacked.004555D0
00456942  |.  8B55 F0                       MOV EDX,DWORD PTR SS:[EBP-10]
00456945  |.  8BC6                          MOV EAX,ESI
00456947  |.  59                            POP ECX
00456948  |.  E8 E73AFDFF                   CALL Unpacked.0042A434
0045694D  |>  8BC6                          MOV EAX,ESI
0045694F  |.  E8 B038FDFF                   CALL Unpacked.0042A204
00456954  |.  833D 20AC4500 01              CMP DWORD PTR DS:[45AC20],1
0045695B  |.  74 28                         JE SHORT Unpacked.00456985
0045695D  |.  6A 40                         PUSH 40
0045695F  |.  68 046B4500                   PUSH Unpacked.00456B04
00456964  |.  68 106B4500                   PUSH Unpacked.00456B10
00456969  |.  A1 18AC4500                   MOV EAX,DWORD PTR DS:[45AC18]
0045696E  |.  E8 A144FEFF                   CALL Unpacked.0043AE14
00456973  |.  50                            PUSH EAX                                 ; |hOwner
00456974  |.  E8 63FEFAFF                   CALL <JMP.&user32.MessageBoxA>           ; \MessageBoxA
00456979  |.  8BC3                          MOV EAX,EBX
0045697B  |.  E8 E89CFFFF                   CALL Unpacked.00450668
00456980  |.  E9 A0000000                   JMP Unpacked.00456A25
00456985  |>  6A 00                         PUSH 0                                   ; /Arg1 = 00000000
00456987  |.  66:8B0D 306B4500              MOV CX,WORD PTR DS:[456B30]              ; |
0045698E  |.  B2 03                         MOV DL,3                                 ; |
00456990 >|.  B8 3C6B4500                   MOV EAX,Unpacked.00456B3C                ; |这是出错的地方
00456995  |.  E8 E20FFDFF                   CALL Unpacked.0042797C                   ; \Unpacked.0042797C
0045699A  |.  83F8 06                       CMP EAX,6
0045699D  |.  75 09                         JNZ SHORT Unpacked.004569A8
0045699F  |.  8BC3                          MOV EAX,EBX


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 234
活跃值: (25)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
2
根据你标出的注释,如果你没有搞错的话,那么应该是从
0045695B  |.  74 28                         JE SHORT Unpacked.00456985
句跳转到00456985  |>  6A 00                         PUSH 0
而出错的。
所以,这个跳转前面的那个Call一般很重要,就是这里:
0045694D  |>  8BC6                          MOV EAX,ESI
0045694F  |.  E8 B038FDFF                   CALL Unpacked.0042A204
00456954  |.  833D 20AC4500 01              CMP DWORD PTR DS:[45AC20],1
0045695B  |.  74 28                         JE SHORT Unpacked.00456985
当然,这也不绝对,还需要好好跟踪分析一下才可以确定。
2006-12-7 01:33
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
可我在那个CALL下了个断点,但是找不出注册吗呀,它提示在注册表里面读不到
2006-12-8 01:04
0
雪    币: 226
活跃值: (11)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
4
要不你先爆破看看,如果成了,那就一定是那个CALL的问题.
2006-12-8 12:31
0
游客
登录 | 注册 方可回帖
返回
//