首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 软件逆向
    3. 发新帖
[讨论]MFC代码的跳转求助
2008-4-21 00:56 5804

[讨论]MFC代码的跳转求助

RegKiller 活跃值
10
2008-4-21 00:56
5804
这段代码是经过程序循环后进入MFC后跳过来的,请问我怎么才能找倒这段代码到底是哪句跳过来的呢?MFC让我头疼。哎。

.text:005765E5 55                push    ebp
.text:005765E6 8B EC             mov     ebp, esp
.text:005765E8 83 EC 0C          sub     esp, 0Ch
.text:005765EB 89 4D F4          mov     [ebp-0Ch], ecx
.text:005765EE 8B 45 0C          mov     eax, [ebp+0Ch]
.text:005765F1 89 45 FC          mov     [ebp-4], eax
.text:005765F4 83 7D FC 00       cmp     dword ptr [ebp-4], 0
.text:005765F8 74 27             jz      short _text_576621
.text:005765FA 6A 06             push    6
.text:005765FC 8B 4D FC          mov     ecx, [ebp-4]
.text:005765FF 83 C1 01          add     ecx, 1
.text:00576602 51                push    ecx
.text:00576603 68 A4 50 97 00    push    offset _data_9750A4
.text:00576608 FF 15 2C 0D AF 00 call    ds:strncpy            ; strncpy:
.text:0057660E 83 C4 0C          add     esp, 0Ch
.text:00576611 C6 05 AA 50 97 00+mov     _data_9750AA, 20h
.text:00576618 C6 05 AB 50 97 00+mov     _data_9750AB, 0
.text:0057661F EB 07             jmp     short _text_576628
.text:00576621                   ; ---------------------------------------------------------------------------
.text:00576621
.text:00576621                   _text_576621:                 ; CODE XREF: .text:005765F8j
.text:00576621 C6 05 A4 50 97 00+mov     _data_9750A4, 0
.text:00576628
.text:00576628                   _text_576628:                 ; CODE XREF: .text:0057661Fj
.text:00576628 83 7D 08 00       cmp     dword ptr [ebp+8], 0
.text:0057662C 0F 84 FA 00 00 00 jz      _text_57672C
.text:00576632 6A 01             push    1
.text:00576634 8B 4D F4          mov     ecx, [ebp-0Ch]
.text:00576637 E8 94 8B E9 FF    call    _text_40F1D0
.text:0057663C 83 7D 08 05       cmp     dword ptr [ebp+8], 5
.text:00576640 77 37             ja      short _text_576679
.text:00576642 8B 55 F4          mov     edx, [ebp-0Ch]
.text:00576645 83 BA E4 00 00 00+cmp     dword ptr [edx+0E4h], 0
.text:0057664C 7E 0E             jle     short _text_57665C
.text:0057664E 8B 4D F4          mov     ecx, [ebp-0Ch]
.text:00576651 81 C1 B4 3B 00 00 add     ecx, 3BB4h
.text:00576657 E8 14 56 EE FF    call    _text_45BC70
.text:0057665C
.text:0057665C                   _text_57665C:                 ; CODE XREF: .text:0057664Cj
.text:0057665C 8B 45 08          mov     eax, [ebp+8]
.text:0057665F 8B 0C 85 38 87 80+mov     ecx, _data_808738[eax*4]
.text:00576666 51                push    ecx
.text:00576667 68 A4 50 97 00    push    offset _data_9750A4
.text:0057666C E8 0F 88 1D 00    call    _mbscat
.text:00576671 83 C4 08          add     esp, 8
.text:00576674 E9 B1 00 00 00    jmp     _text_57672A
.text:00576679                   ; ---------------------------------------------------------------------------
.text:00576679
.text:00576679                   _text_576679:                 ; CODE XREF: .text:00576640j
.text:00576679 81 7D 08 01 0B 00+cmp     dword ptr [ebp+8], 0B01h
.text:00576680 75 5D             jnz     short _text_5766DF
.text:00576682 68 B0 87 80 00    push    offset _data_8087B0
.text:00576687 68 A4 50 97 00    push    offset _data_9750A4
.text:0057668C E8 9F 87 1D 00    call    _mbscpy
.text:00576691 83 C4 08          add     esp, 8
.text:00576694 8B 55 F4          mov     edx, [ebp-0Ch]
.text:00576697 33 C0             xor     eax, eax
.text:00576699 66 8B 82 A0 00 00+mov     ax, [edx+0A0h]
.text:005766A0 3D 00 03 00 00    cmp     eax, 300h
.text:005766A5 75 36             jnz     short _text_5766DD
.text:005766A7 6A 01             push    1
.text:005766A9 E8 50 F3 EF FF    call    _text_4759FE
.text:005766AE 83 C4 04          add     esp, 4
.text:005766B1 8B 4D F4          mov     ecx, [ebp-0Ch]
.text:005766B4 C7 81 8C 00 00 00+mov     dword ptr [ecx+8Ch], 1
.text:005766BE 6A 00             push    0
.text:005766C0 68 D0 07 00 00    push    7D0h
.text:005766C5 6A 04             push    4
.text:005766C7 8B 4D F4          mov     ecx, [ebp-0Ch]
.text:005766CA E8 D1 8A E9 FF    call    _text_40F1A0
.text:005766CF 6A 00             push    0
.text:005766D1 6A 64             push    64h
.text:005766D3 6A 02             push    2
.text:005766D5 8B 4D F4          mov     ecx, [ebp-0Ch]
.text:005766D8 E8 C3 8A E9 FF    call    _text_40F1A0
.text:005766DD
.text:005766DD                   _text_5766DD:                 ; CODE XREF: .text:005766A5j
.text:005766DD EB 4B             jmp     short _text_57672A
.text:005766DF                   ; ---------------------------------------------------------------------------
.text:005766DF
.text:005766DF                   _text_5766DF:                 ; CODE XREF: .text:00576680j
.text:005766DF 81 7D 08 02 0B 00+cmp     dword ptr [ebp+8], 0B02h
.text:005766E6 75 42             jnz     short _text_57672A
.text:005766E8 68 BC 87 80 00    push    offset _data_8087BC
.text:005766ED 68 A4 50 97 00    push    offset _data_9750A4
.text:005766F2 E8 39 87 1D 00    call    _mbscpy
.text:005766F7 83 C4 08          add     esp, 8
.text:005766FA 8B 15 B4 B9 82 00 mov     edx, _data_82B9B4
.text:00576700 81 C2 9C 08 00 00 add     edx, 89Ch
.text:00576706 89 55 F8          mov     [ebp-8], edx
.text:00576709 6A 00             push    0
.text:0057670B 68 01 0B 00 00    push    0B01h
.text:00576710 8B 4D F8          mov     ecx, [ebp-8]
.text:00576713 E8 72 B0 0C 00    call    _text_64178A
.text:00576718 68 C8 87 80 00    push    offset _data_8087C8
.text:0057671D 68 8B 07 00 00    push    78Bh
.text:00576722 8B 4D F4          mov     ecx, [ebp-0Ch]
.text:00576725 E8 34 74 1D 00    call    mfc42_5953_1
.text:0057672A
.text:0057672A                   _text_57672A:                 ; CODE XREF: .text:00576674j
.text:0057672A                                                 ; .text:_text_5766DDj
.text:0057672A                                                 ; .text:005766E6j
.text:0057672A EB 12             jmp     short _text_57673E
.text:0057672C                   ; ---------------------------------------------------------------------------
.text:0057672C
.text:0057672C                   _text_57672C:                 ; CODE XREF: .text:0057662Cj
.text:0057672C 68 D4 87 80 00    push    offset aSI            ; "等行情报价"
.text:00576731 68 A4 50 97 00    push    offset _data_9750A4
.text:00576736 E8 45 87 1D 00    call    _mbscat
.text:0057673B 83 C4 08          add     esp, 8
.text:0057673E
.text:0057673E                   _text_57673E:                 ; CODE XREF: .text:_text_57672Aj
.text:0057673E 83 3D C0 44 97 00+cmp     _data_9744C0, 0
.text:00576745 75 12             jnz     short _text_576759
.text:00576747 68 E0 87 80 00    push    offset _data_8087E0
.text:0057674C 68 A4 50 97 00    push    offset _data_9750A4
.text:00576751 E8 2A 87 1D 00    call    _mbscat
.text:00576756 83 C4 08          add     esp, 8
.text:00576759
.text:00576759                   _text_576759:                 ; CODE XREF: .text:00576745j
.text:00576759 68 A4 50 97 00    push    offset _data_9750A4
.text:0057675E 68 8C 07 00 00    push    78Ch
.text:00576763 8B 4D F4          mov     ecx, [ebp-0Ch]
.text:00576766 E8 F3 73 1D 00    call    mfc42_5953_1
.text:0057676B 8B 45 F4          mov     eax, [ebp-0Ch]
.text:0057676E 83 B8 E4 00 00 00+cmp     dword ptr [eax+0E4h], 0
.text:00576775 7F 0C             jg      short _text_576783
.text:00576777 8B 4D F4          mov     ecx, [ebp-0Ch]
.text:0057677A 83 B9 98 00 00 00+cmp     dword ptr [ecx+98h], 0
.text:00576781 75 18             jnz     short _text_57679B
.text:00576783
.text:00576783                   _text_576783:                 ; CODE XREF: .text:00576775j
.text:00576783 6A 01             push    1
.text:00576785 8B 4D F4          mov     ecx, [ebp-0Ch]
.text:00576788 E8 43 8A E9 FF    call    _text_40F1D0
.text:0057678D 6A 00             push    0
.text:0057678F 6A 64             push    64h
.text:00576791 6A 02             push    2
.text:00576793 8B 4D F4          mov     ecx, [ebp-0Ch]
.text:00576796 E8 05 8A E9 FF    call    _text_40F1A0
.text:0057679B
.text:0057679B                   _text_57679B:                 ; CODE XREF: .text:00576781j
.text:0057679B 83 3D C0 44 97 00+cmp     _data_9744C0, 0
.text:005767A2 74 54             jz      short _text_5767F8
.text:005767A4 83 7D 08 00       cmp     dword ptr [ebp+8], 0
.text:005767A8 74 28             jz      short _text_5767D2
.text:005767AA 8B 15 BC 44 97 00 mov     edx, _data_9744BC
.text:005767B0 52                push    edx
.text:005767B1 68 35 12 00 3F    push    3F001235h
.text:005767B6 8B 45 F4          mov     eax, [ebp-0Ch]
.text:005767B9 8B 88 AC 37 00 00 mov     ecx, [eax+37ACh]
.text:005767BF 51                push    ecx
.text:005767C0 8B 55 F4          mov     edx, [ebp-0Ch]
.text:005767C3 8B 82 A8 37 00 00 mov     eax, [edx+37A8h]
.text:005767C9 50                push    eax
.text:005767CA FF 15 AC 0E AF 00 call    ds:SendMessageA       ; SendMessageA:
.text:005767D0 EB 26             jmp     short _text_5767F8
.text:005767D2                   ; ---------------------------------------------------------------------------
.text:005767D2
.text:005767D2                   _text_5767D2:                 ; CODE XREF: .text:005767A8j
.text:005767D2 8B 0D BC 44 97 00 mov     ecx, _data_9744BC
.text:005767D8 51                push    ecx
.text:005767D9 68 34 12 00 3F    push    3F001234h
.text:005767DE 8B 55 F4          mov     edx, [ebp-0Ch]
.text:005767E1 8B 82 AC 37 00 00 mov     eax, [edx+37ACh]
.text:005767E7 50                push    eax
.text:005767E8 8B 4D F4          mov     ecx, [ebp-0Ch]
.text:005767EB 8B 91 A8 37 00 00 mov     edx, [ecx+37A8h]
.text:005767F1 52                push    edx
.text:005767F2 FF 15 AC 0E AF 00 call    ds:SendMessageA       ; SendMessageA:
.text:005767F8
.text:005767F8                   _text_5767F8:                 ; CODE XREF: .text:005767A2j
.text:005767F8                                                 ; .text:005767D0j
.text:005767F8 33 C0             xor     eax, eax
.text:005767FA 8B E5             mov     esp, ebp
.text:005767FC 5D                pop     ebp
.text:005767FD C2 08 00          retn    8

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
点赞0
打赏
分享
最新回复 (6)
Bughoho
雪    币: 1946
活跃值: (238)
能力值: (RANK:330 )
在线值:
发帖
回帖
粉丝
私信
Bughoho 8 2008-4-21 02:56
2
0
你没描述清楚
tom
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
tom 2008-4-21 09:15
3
0
如果是CALL查堆栈,如果是动态跳就比叫嘛烦了,
caocunt
雪    币: 215
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
caocunt 2008-4-22 08:51
4
0
为什么不动态跟踪?

你非要拿IDA来考验你强大的双眼和头脑,我没话说了,手工计算吧.用自己的脑袋模拟执行环境和上下文.
RegKiller
雪    币: 187
活跃值: (335)
能力值: ( LV9,RANK:450 )
在线值:
发帖
回帖
粉丝
私信
RegKiller 10 2008-4-22 09:18
5
0
动态也白费,经过MFC过来的,找不到地址。
chenwitch
雪    币: 88
活跃值: (131)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
chenwitch 2008-4-22 09:44
6
0
可以用trace试试
boainfall
雪    币: 116
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
boainfall 2008-4-22 11:09
7
0
你在.rdata里面找找看
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回