[分享]一段花指令-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
天线宝宝雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 168 粉丝 0 关注私信	天线宝宝 2 楼花花花花 2008-3-11 16:32 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 3 楼不懂，学习 2008-3-11 16:48 0
lovelyfrog 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 173 粉丝 0 关注私信	lovelyfrog 4 楼不错,学习!! 2008-3-11 17:06 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 5 楼还是看看Krypton的那个吧 2008-3-11 17:23 0
triones 雪币： 517 活跃值： (84) 能力值： ( LV12，RANK：250 ) 在线值：发帖 17 回帖 158 粉丝 1 关注私信	triones 6 6 楼 .text:10003368 60 pusha .text:10003368 .text:10003369 .text:10003369 loc_10003369: .text:10003369 8D 05 6F 33 00 10 lea eax, loc_1000336F .text:10003369 .text:1000336F .text:1000336F loc_1000336F: .text:1000336F 83 C0 0E add eax, 0Eh .text:10003372 EB 05 jmp short loc_10003379 .text:10003372 .text:10003374 ; --------------------------------------------------------------------------- .text:10003374 EB F3 jmp short loc_10003369 .text:10003374 .text:10003374 ; --------------------------------------------------------------------------- .text:10003376 DB 30 dw 30DBh .text:10003378 ; --------------------------------------------------------------------------- .text:10003378 57 push edi .text:10003378 .text:10003379 .text:10003379 loc_10003379: .text:10003379 FF E0 jmp eax .text:10003379 .text:10003379 tst endp .text:10003379 .text:10003379 ; --------------------------------------------------------------------------- .text:1000337B E9 db 0E9h .text:1000337C 21 db 21h .text:1000337D ; --------------------------------------------------------------------------- .text:1000337D 61 popa 使用了明显的jmp跳，还是很简单的，只不过用 jmp reg跳转寄存器来阻止反汇编器的分析。跳转过程还是很明显的。不用跟踪，直接IDA就出来了。这是常用的花指令形式。 2008-3-12 16:03 0
xievazi 雪币： 134 活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 102 粉丝 0 关注私信	xievazi 7 楼呵呵，有意思 2008-3-13 14:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
天线宝宝雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 168 粉丝 0 关注私信	天线宝宝 2 楼花花花花 2008-3-11 16:32 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 3 楼不懂，学习 2008-3-11 16:48 0
lovelyfrog 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 173 粉丝 0 关注私信	lovelyfrog 4 楼不错,学习!! 2008-3-11 17:06 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 5 楼还是看看Krypton的那个吧 2008-3-11 17:23 0
triones 雪币： 517 活跃值： (84) 能力值： ( LV12，RANK：250 ) 在线值：发帖 17 回帖 158 粉丝 1 关注私信	triones 6 6 楼 .text:10003368 60 pusha .text:10003368 .text:10003369 .text:10003369 loc_10003369: .text:10003369 8D 05 6F 33 00 10 lea eax, loc_1000336F .text:10003369 .text:1000336F .text:1000336F loc_1000336F: .text:1000336F 83 C0 0E add eax, 0Eh .text:10003372 EB 05 jmp short loc_10003379 .text:10003372 .text:10003374 ; --------------------------------------------------------------------------- .text:10003374 EB F3 jmp short loc_10003369 .text:10003374 .text:10003374 ; --------------------------------------------------------------------------- .text:10003376 DB 30 dw 30DBh .text:10003378 ; --------------------------------------------------------------------------- .text:10003378 57 push edi .text:10003378 .text:10003379 .text:10003379 loc_10003379: .text:10003379 FF E0 jmp eax .text:10003379 .text:10003379 tst endp .text:10003379 .text:10003379 ; --------------------------------------------------------------------------- .text:1000337B E9 db 0E9h .text:1000337C 21 db 21h .text:1000337D ; --------------------------------------------------------------------------- .text:1000337D 61 popa 使用了明显的jmp跳，还是很简单的，只不过用 jmp reg跳转寄存器来阻止反汇编器的分析。跳转过程还是很明显的。不用跟踪，直接IDA就出来了。这是常用的花指令形式。 2008-3-12 16:03 0
xievazi 雪币： 134 活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 102 粉丝 0 关注私信	xievazi 7 楼呵呵，有意思 2008-3-13 14:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复