首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 经典问答
    3. 发新帖
版主帮忙分析一下
发表于: 2006-12-7 21:04 3951

版主帮忙分析一下

网上续缘 活跃值
2006-12-7 21:04
3951
004019EA   > \A1 8B004900   MOV EAX,DWORD PTR DS:[49008B]
004019EF   .  C1E0 02       SHL EAX,2
004019F2   .  A3 8F004900   MOV DWORD PTR DS:[49008F],EAX
004019F7   .  52            PUSH EDX
004019F8   .  6A 00         PUSH 0                                   ; /pModule = NULL
004019FA   .  E8 93E10800   CALL <JMP.&KERNEL32.GetModuleHandleA>    ; \GetModuleHandleA
004019FF   .  8BD0          MOV EDX,EAX
00401A01   .  E8 920A0600   CALL wincmis1.00462498
00401A06   .  5A            POP EDX
00401A07   .  E8 58E20800   CALL <JMP.&CC3260MT.___CRTL_MEM_UseBorMM>
00401A0C   .  E8 CB0A0600   CALL wincmis1.004624DC
00401A11   .  6A 00         PUSH 0                                   ; /Arg1 = 00000000
00401A13   .  E8 800B0600   CALL wincmis1.00462598                   ; \wincmis1.00462598
00401A18   .  59            POP ECX
00401A19   .  68 34004900   PUSH wincmis1.00490034
00401A1E   .  6A 00         PUSH 0                                   ; /pModule = NULL
00401A20   .  E8 6DE10800   CALL <JMP.&KERNEL32.GetModuleHandleA>    ; \GetModuleHandleA
00401A25   .  A3 93004900   MOV DWORD PTR DS:[490093],EAX
00401A2A   .  6A 00         PUSH 0
00401A2C   .  E9 B1E20800   JMP <JMP.&CC3260MT.__startup>
00401A31 > $  E9 AE0B0600   JMP wincmis1.004625E4
00401A36   .  33C0          XOR EAX,EAX
00401A38   .  A0 7D004900   MOV AL,BYTE PTR DS:[49007D]
00401A3D   .  C3            RETN

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (7)
笨笨雄
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
私信
2
还是不放弃

我说过

只能自己来

你这么随便复制一段代码过来

有意义?????

禁止有偿破解,不代表有专人免费给你破解。

这里只是一个方便大家学习交流的地方。

GetModuleHandleA

这个是入口的标记

startup

这个单词怎么看也是初始化的。

或者我误会你的意思了?你只是想知道程序是如何初始化?
2006-12-7 21:19
0
网上续缘
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
是的.偶并没有叫你破解呀.这个论坛不能提问吗?
就是想知道程序是如何初始化?
2006-12-7 21:56
0
KAN
雪    币: 263
活跃值: (10)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
4
说实在得这段代码能说明什么????????????????????????
2006-12-7 22:58
0
fonge
雪    币: 263
活跃值: (10)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
私信
5
能说明灌水
2006-12-8 12:34
0
笨笨雄
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
私信
6
GetModuleHandleA

这个API的返回值,即该PE被栽入内存后的起始地址。印象中一些建立窗体和注册类的API都要传入这个参数。

00401A20   .  E8 6DE10800   CALL <JMP.&KERNEL32.GetModuleHandleA>    ; \GetModuleHandleA
00401A25   .  A3 93004900   MOV DWORD PTR DS:[490093],EAX

由于以后会多次使用,所以一般调用这个函数,并把函数放进一个全局变量中。就象这句一样。

至于为什么会出现两次GetModuleHandleA调用,这得问软件的编写者或者问编译器的编写者。正如我最近写的R 0逆向的文章描述的,一些编译器过于机械化,所以会重新使用一些代码。
2006-12-8 12:51
0
网上续缘
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
就没找到GetModuleHandleA函数说明,
只找到:
1、 Hmemcpy函数
2、 GetWindowText函数
3、 GetDlgItemText
4、 MessageBox函数

另外.&CC3260MT.___CRTL_MEM_UseBorMM什么意思????
2006-12-8 20:11
0
笨笨雄
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
私信
8
msdn.microsoft.com上有所有系统API的说明

___CRTL_MEM_UseBorMM

你不认识的,我也不认识。

一般这些不认识的东西都是自己写的导出函数,要么问作者那是什么意思,要么自己分析代码搞清楚是什么意思。
2006-12-8 20:31
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//