00A88A87 8B45 F8 MOV EAX,DWORD PTR SS:[EBP-8]
00A88A8A 0FB600 MOVZX EAX,BYTE PTR DS:[EAX]
00A88A8D 8B5483 40 MOV EDX,DWORD PTR DS:[EBX+EAX*4+40]
00A88A91 8BC6 MOV EAX,ESI
00A88A93 FFD2 CALL EDX
00A88A95 3B45 FC CMP EAX,DWORD PTR SS:[EBP-4]
00A88A98 75 1A JNZ SHORT 00A88AB4
00A88A9A 8B45 10 MOV EAX,DWORD PTR SS:[EBP+10]
00A88A9D 50 PUSH EAX
00A88A9E 8B45 14 MOV EAX,DWORD PTR SS:[EBP+14]
00A88AA1 50 PUSH EAX
00A88AA2 E8 19FAFFFF CALL 00A884C0
00A88AA7 50 PUSH EAX
00A88AA8 8BCE MOV ECX,ESI
00A88AAA 8B55 18 MOV EDX,DWORD PTR SS:[EBP+18]
00A88AAD 8BC3 MOV EAX,EBX
00A88AAF E8 D4FDFFFF CALL 00A88888
00A88AB4 4F DEC EDI
00A88AB5 0373 6C ADD ESI,DWORD PTR DS:[EBX+6C]
00A88AB8 85FF TEST EDI,EDI
00A88ABA ^ 77 CB JA SHORT 00A88A87
跟踪asprotect2.11壳时出现了这样的情况。在进入Advanced Import protection之后地址是00CD0000出现了这样一个循环。跳出的话程序就会运行,单步跟踪的话至少也要几百次循环才能运行。00A884C0里面没有跳转。进入00A88888会再调用00CD0000一直循环几百次然后再程序运行。我想知道他在哪里调用了API可是找不到他在哪里调用的。进入00A88888之后CALL EAX这种调用很多。也摸不准他是在哪个CALL调用了API。在论坛上没有看到有这种问题就是有这种问题也不太好找得到。麻烦各位找一点一下。
[课程]Android-CTF解题方法汇总!