在8.4的版本里是找到l_n36_buff的call就可以得到计算SEED的data0 data1了
但是在11.4的版本里面也是这样吗??
我OD找着了6f7330b8的标志位,但是后面不知道如何下断
尝试了一下
1001A215 55 push ebp 第一个断点
1001A216 8BEC mov ebp, esp
1001A218 83EC 24 sub esp, 24
1001A21B C645 EC 00 mov byte ptr [ebp-14], 0
1001A21F 33C0 xor eax, eax
1001A221 66:8945 ED mov word ptr [ebp-13], ax
1001A225 8845 EF mov byte ptr [ebp-11], al
1001A228 C745 F4 B830736>mov dword ptr [ebp-C], 6F7330B8
1001A22F C745 FC 0000000>mov dword ptr [ebp-4], 0
1001A236 C745 F8 0000000>mov dword ptr [ebp-8], 0
1001A23D C745 F0 0300000>mov dword ptr [ebp-10], 3
1001A244 68 00100000 push 1000
1001A249 8B4D 08 mov ecx, dword ptr [ebp+8]
1001A24C 51 push ecx
1001A24D E8 0B530000 call 1001F55D
1001A252 83C4 08 add esp, 8
1001A255 85C0 test eax, eax
1001A257 74 52 je short 1001A2AB 第二个断点(直接跳出去了)
1001A259 8B55 08 mov edx, dword ptr [ebp+8]
1001A25C 8B82 9C010000 mov eax, dword ptr [edx+19C]
1001A262 8B88 E81C0000 mov ecx, dword ptr [eax+1CE8]
1001A268 83B9 24050000 0>cmp dword ptr [ecx+524], 0
1001A26F 74 3A je short 1001A2AB
1001A271 8B55 10 mov edx, dword ptr [ebp+10]
1001A274 52 push edx
1001A275 8B45 0C mov eax, dword ptr [ebp+C]
1001A278 50 push eax
1001A279 8B4D 08 mov ecx, dword ptr [ebp+8]
1001A27C 8B91 9C010000 mov edx, dword ptr [ecx+19C]
1001A282 8B82 E81C0000 mov eax, dword ptr [edx+1CE8]
1001A288 05 28050000 add eax, 528
1001A28D 50 push eax
1001A28E 8B4D 08 mov ecx, dword ptr [ebp+8]
1001A291 8B91 9C010000 mov edx, dword ptr [ecx+19C]
1001A297 8B82 E81C0000 mov eax, dword ptr [edx+1CE8]
1001A29D FF90 24050000 call dword ptr [eax+524] 第三个断点
1001A2A3 83C4 0C add esp, 0C
1001A2A6 E9 13010000 jmp 1001A3BE
我在以下三处下断
1001a215
1001a257
1001a29d
不知道这样下对不对,而且第二个断点F9后直接je返回去了,无法到达第三个断点,不知道如何是好呀!
请大牛们指点一下,应该如何操作
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
