0C110F08         主        jmp     0C110F15
0C110F15         主        pop     edx        ESP=0012EF8C
0C110F16         主        pop     eax        EAX=616CB52A, ESP=0012EF90
0C110F17         主        pop     edx        EDX=09C754A0, ESP=0012EF94
0C110F18         主        pop     eax        EAX=09C4709C, ESP=0012EF98
0C110F19         主        jnz     USER32.77D43343///////这里是调用API吗？
0C110F1F         主        jmp     0C110F2D
0C110F2D         主        push    dword ptr [ebp+C]        ESP=0012EF94
0C110F30         主        jmp     0C110F40
0C110F40         主        push    dword ptr [ebp+8]        ESP=0012EF90
0C110F43         主        pushad        ESP=0012EF70
0C110F44         主        mov     cx, 727D        ECX=0000727D
0C110F48         主        jmp     0C110F52
0C110F52         主        popad        ECX=00000000, ESP=0012EF90
0C110F53         主        call    USER32.LoadCursorW        EAX=00010011, ECX=00009495, EDX=7C92E4F4, ESP=0012EF98
0C110F58         主        pushad        ESP=0012EF78

跟踪一段代码，跟到上面这里，0C110F19处，那个跳到jnz     USER32.77D43343的地方，是调用某个API吗?如果跟踪的时候步入进去，到里面int 2B以后，就会弹出窗口了。我猜想是不是先用自已的代码模拟API的一些初始化操作，然后直接跳进去到API函数代码的中间开始执行，一直执行到int 2B,这样就可以防止不被断到？

当然下面的，0C110F53   call    USER32.LoadCursorW，是可以显示出来API名称的。上面那个地方从DLL输出表里面也找不到那个首地址对应的API函数。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课