能力值:
(RANK:410 )
|
-
-
2 楼
如果你的call是真call.那么以你可以到其地址出比如1C9F34+11h=1C9F45h处先 U(undefine),后C(code),再P(procedure).
如果call是假call,很多时候,在壳中call只是个跳转,中间有花指令,垃圾代码等。那你就不要按p了。因为那不是个真的函数。
如果一定要用IDA分析,你最好先脱壳,去除混淆指令,才好。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
谢谢谢谢,在楼上好心人的帮助下问题已经搞定,谢谢谢谢。
还有个问题。如下
cseg_01:001CAF64 loc_1CAF64: ; CODE XREF: sub_1CA166+DFAj
cseg_01:001CAF64 lea ebx, [ebp+var_D8]
cseg_01:001CAF6A mov edx, 1
cseg_01:001CAF6F mov eax, [ebp+var_24]
cseg_01:001CAF72 call near ptr 710B0h
cseg_01:001CAF77 mov eax, [ebp+var_24]
cseg_01:001CAF7A call near ptr 711B0h
其中的call near ptr 710B0h 在ida中710B0h显示为红色,是否是识别错误了还是其他问题?这种情况怎么消除他呢?
望高手相助,再次感谢!!!
|
|
|