[求助]问个弱弱的问题-¥付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]问个弱弱的问题 0.00雪花

2007-12-8 15:54 3031

[旧帖] [求助]问个弱弱的问题 0.00雪花

mmxww

活跃值

2007-12-8 15:54

3031

用OD载入一个名叫火车头的软件，软件却直接运行起来，并且直接跳到KERNEL32模块，来回按ALT+F9怎么也跳不到软件领空。后用ASM打开，开头发现如下代码，

像这样00402050::  F3                      ??? 和00402066::  FF                      ???
是什么意思啊

::00402000::  90                      NOP
::00402001::  5F                      POP EDI
::00402002::  0F0000                SLDT [EAX]
::00402005::  0000                   ADD [EAX],AL
::00402007::  0048 00                ADD [EAX],CL
::0040200A::  0000                   ADD [EAX],AL
::0040200C::  0200                   ADD AL,[EAX]
::0040200E::  05 00EC7A04             ADD EAX,47AEC00
::00402013::  0051 CE                ADD [ECX-32],DL
::00402016::  0200                   ADD AL,[EAX]
::00402018::  0100                   ADD [EAX],EAX
::0040201A::  0000                   ADD [EAX],AL
::0040201C::  C9                      LEAVE
::0040201D::  0000                   ADD [EAX],AL
::0040201F::  06                      PUSH ES
::00402020::  3D 49070021             CMP EAX,21000749
::00402025::  16                      PUSH SS
::00402026::  0800                   OR [EAX],AL
::00402028::  0000                   ADD [EAX],AL
::0040202A::  0000                   ADD [EAX],AL
::0040202C::  0000                   ADD [EAX],AL
::0040202E::  0000                   ADD [EAX],AL
::00402030::  0000                   ADD [EAX],AL
::00402032::  0000                   ADD [EAX],AL
::00402034::  0000                   ADD [EAX],AL
::00402036::  0000                   ADD [EAX],AL
::00402038::  0000                   ADD [EAX],AL
::0040203A::  0000                   ADD [EAX],AL
::0040203C::  0000                   ADD [EAX],AL
::0040203E::  0000                   ADD [EAX],AL
::00402040::  0000                   ADD [EAX],AL
::00402042::  0000                   ADD [EAX],AL
::00402044::  0000                   ADD [EAX],AL
::00402046::  0000                   ADD [EAX],AL
::00402048::  0000                   ADD [EAX],AL
::0040204A::  0000                   ADD [EAX],AL
::0040204C::  0000                   ADD [EAX],AL
::0040204E::  0000                   ADD [EAX],AL
::00402050::  F3                      ???
::00402051::  FF00                   INC DWORD PTR [EAX]
::00402053::  0000                   ADD [EAX],AL
::00402055::  0000                   ADD [EAX],AL
::00402057::  0050 20                ADD [EAX+20],DL
::0040205A::  0000                   ADD [EAX],AL
::0040205C::  FF                      ???
::0040205D::  FF                      ???
::0040205E::  FF                      ???
::0040205F::  FF                      ???
::00402060::  FF                      ???
::00402061::  FF                      ???
::00402062::  FF                      ???
::00402063::  FF                      ???
::00402064::  FF                      ???
::00402065::  FF                      ???
::00402066::  FF                      ???
::00402067::  FF                      ???
::00402068::  FF                      ???
::00402069::  FF                      ???
::0040206A::  FF                      ???
::0040206B::  FF                      ???
::0040206C::  FF                      ???
::0040206D::  FF                      ???
::0040206E::  FF                      ???
::0040206F::  FF                      ???
::00402070::  FF                      ???
::00402071::  FF                      ???
::00402072::  FF                      ???
::00402073::  FF                      ???
::00402074::  FF                      ???
::00402075::  FF                      ???
::00402076::  FF                      ???
::00402077::  FF                      ???
::00402078::  FF                      ???
::00402079::  FF                      ???
::0040207A::  FF                      ???
::0040207B::  FF                      ???
::0040207C::  FF                      ???
::0040207D::  FF                      ???
::0040207E::  FF                      ???
::0040207F::  FF                      ???
::00402080::  FF                      ???
::00402081::  FF                      ???
::00402082::  FF                      ???
::00402083::  FF                      ???
::00402084::  FF                      ???
::00402085::  FF                      ???

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

收藏・1

点赞・0

打赏

分享

最新回复 (3)
yangjt 雪币： 609 活跃值： (212) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 443 粉丝 1 关注私信	yangjt 10 2007-12-8 16:16 2 楼 0 一个很有才的问题…… 先用PEid查壳，查到了入口点在跑道你所用的ASM工具里去到入口点看纳……那个位置你当然找不到东西的了…… P.S.PEid查到的入口点需要加基址
mmxww 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 -1 回帖 4 粉丝 0 关注私信	mmxww 2007-12-8 17:10 3 楼 0 那这些是什么东东，这个软件是.NET下开发的
yangjt 雪币： 609 活跃值： (212) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 443 粉丝 1 关注私信	yangjt 10 2007-12-8 17:48 4 楼 0 ?? 就是未知指令呗，然后又看到这么多ADD [EAX],AL，说明你肯定来错地方了…… 先到入口点分析下再说呗……
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

返回

mmxww

发帖

回帖

RANK

关注

他的文章

[求助]问个弱弱的问题

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区