[求助]下面这个程序是怎末调用api的-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
StarsunYzL 雪币： 424 活跃值： (1829) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 441 粉丝 1 关注私信	StarsunYzL 2 楼代码被VM了 2008-8-5 08:42 0
sudaxx 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 60 粉丝 0 关注私信	sudaxx 3 楼不懂,对VM了的code,偶基本无从下手... 不懂壳啊,不懂扭曲加密啊 2008-8-5 09:12 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 4 楼原来如此！我说怎末看着都不懂，谢谢各位了。对了，怎末看出是被vm呢，还有他调用api返回后为什么连个call都没看到？ 2008-8-5 09:44 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 5 楼一大堆乱码,拖到IDA中,基本什么都看不见的,除了常见的花,应该就是被VM了的... 2008-8-5 10:55 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 6 楼呵呵，上面就是传说中的sudami同学啊，久仰久仰。这个程序调用api后连返回的地方都看不懂，真不知道以后破解都成这样岂不没发混了……我对vm一点不熟悉 2008-8-5 16:04 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 7 楼你追码错误比较有可能 2008-8-5 20:32 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 8 楼 vmp1.2x 鸡蛋壳放出来的那个程序？获取硬件信息的代码网上很多的 2008-8-5 21:32 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 9 楼我好好研究下vm，太神奇了~~ 2008-8-6 11:49 0
snowbirdcn 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	snowbirdcn 10 楼看着几个jmp地址 0040BF2D ^ E9 A6FBFFFF jmp 0040BAD8 0040BF32 0FA2 cpuid 0040BF34 68 3152E8BA push BAE85231 0040BF39 ^ E9 8CFBFFFF jmp 0040BACA 0040BF3E 68 295228C1 push C1285229 0040BF43 ^ E9 82FBFFFF jmp 0040BACA 0040BF4B C423 les esp, fword ptr [ebx] 0040BF4D 68 B676EB6F push 6FEB76B6 0040BF52 ^ E9 9DFCFFFF jmp 0040BBF4 0040BF57 7E 08 jle short 0040BF61 很显然call在那一堆里面混杂着，或者运行时被解码修改成正确的，所以静态分析基本无效。 40Bxxxx这些区域 2008-8-6 14:45 0
snowbirdcn 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	snowbirdcn 11 楼可以找一下是否有代码读写修改这几片区域应该是动态代码，不过既然能跑，肯定是能找到因果链条的 2008-8-6 14:47 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 12 楼找不到啊找不到……就是找不到因果链条才来问大家的。完全没有思路怎末弄 2008-8-6 18:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
StarsunYzL 雪币： 424 活跃值： (1829) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 441 粉丝 1 关注私信	StarsunYzL 2 楼代码被VM了 2008-8-5 08:42 0
sudaxx 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 60 粉丝 0 关注私信	sudaxx 3 楼不懂,对VM了的code,偶基本无从下手... 不懂壳啊,不懂扭曲加密啊 2008-8-5 09:12 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 4 楼原来如此！我说怎末看着都不懂，谢谢各位了。对了，怎末看出是被vm呢，还有他调用api返回后为什么连个call都没看到？ 2008-8-5 09:44 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 5 楼一大堆乱码,拖到IDA中,基本什么都看不见的,除了常见的花,应该就是被VM了的... 2008-8-5 10:55 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 6 楼呵呵，上面就是传说中的sudami同学啊，久仰久仰。这个程序调用api后连返回的地方都看不懂，真不知道以后破解都成这样岂不没发混了……我对vm一点不熟悉 2008-8-5 16:04 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 7 楼你追码错误比较有可能 2008-8-5 20:32 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 8 楼 vmp1.2x 鸡蛋壳放出来的那个程序？获取硬件信息的代码网上很多的 2008-8-5 21:32 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 9 楼我好好研究下vm，太神奇了~~ 2008-8-6 11:49 0
snowbirdcn 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	snowbirdcn 10 楼看着几个jmp地址 0040BF2D ^ E9 A6FBFFFF jmp 0040BAD8 0040BF32 0FA2 cpuid 0040BF34 68 3152E8BA push BAE85231 0040BF39 ^ E9 8CFBFFFF jmp 0040BACA 0040BF3E 68 295228C1 push C1285229 0040BF43 ^ E9 82FBFFFF jmp 0040BACA 0040BF4B C423 les esp, fword ptr [ebx] 0040BF4D 68 B676EB6F push 6FEB76B6 0040BF52 ^ E9 9DFCFFFF jmp 0040BBF4 0040BF57 7E 08 jle short 0040BF61 很显然call在那一堆里面混杂着，或者运行时被解码修改成正确的，所以静态分析基本无效。 40Bxxxx这些区域 2008-8-6 14:45 0
snowbirdcn 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	snowbirdcn 11 楼可以找一下是否有代码读写修改这几片区域应该是动态代码，不过既然能跑，肯定是能找到因果链条的 2008-8-6 14:47 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 12 楼找不到啊找不到……就是找不到因果链条才来问大家的。完全没有思路怎末弄 2008-8-6 18:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复