[求助]OD中有不能被识别的汇编代码？-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
okyzx 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	okyzx 2 楼关注~~~~ 2008-11-28 15:52 0
Pan88168 雪币： 439 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 1103 粉丝 8 关注私信	Pan88168 3 楼明显是花指令或是加壳保护了. 2008-11-28 16:02 0
lixiaodog 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 46 粉丝 0 关注私信	lixiaodog 4 楼不能吧。。我检测过啦，没壳如下图：上传的附件：未命名.JPG （23.03kb，114次下载） 2008-11-28 16:55 0
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 866 粉丝 4 关注私信	mstwugui 6 5 楼支持３楼，不要过于依赖某个工具，peid不报不一定就没有另外就算没壳没混淆，源代码里就不能内嵌汇编忽悠一下吗，楼主还是先看看原来那个call是否真的会被调用到，或是目标地址是否会在运行时刻被patch掉 2008-11-28 17:47 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 6 楼 [QUOTE=lixiaodog;542547] 100AD517 40 inc eax 100AD518 0000 add byte ptr ds:[eax], al 100AD51A 0000 add byte ptr ds:[eax], al 100AD51C 27 daa 100AD51D AA stos byte ptr es:[edi] 100AD51E 05 1034D50A add eax, 0AD53410 100AD523 1028 adc byte ptr ds:[eax], ch 100AD525 D50A aad 100AD527 10FF adc bh, bh 100AD529 FFFF ??? ; 未知命令 100AD52B FF00 inc dword ptr ds:[eax] 有一个地方有这样一句 CALL 100AD528 文件没有加壳[/QUOTE] 注意指令边界。而且也不排除这里是动态修改代码的可能。 2008-11-28 21:18 0
xfish 雪币： 315 活跃值： (23) 能力值： ( LV9，RANK：220 ) 在线值：发帖 10 回帖 113 粉丝 5 关注私信	xfish 5 7 楼可能是代码加密了。。 2008-11-28 22:46 0
KooJiSung 雪币： 357 活跃值： (3123) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 8 楼运行起来就知道了 2008-11-28 22:52 0
lixiaodog 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 46 粉丝 0 关注私信	lixiaodog 9 楼解释下指令边界我是菜鸟 2008-11-29 12:39 0
lixiaodog 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 46 粉丝 0 关注私信	lixiaodog 10 楼怎样确定一个EXE确实没有被加壳？ 2008-11-29 12:40 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 11 楼又是这种贴子哎 100AD518 dd 0 100AD51C dd 1005AA27 100AD520 dd 100AD534 100AD524 dd 100AD528 100AD528 dd -1 2008-11-29 12:51 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 12 楼程序没有壳楼主贴的东西在.rdata段其中1005AA27 指向.text，应该是个函数入口 2008-11-29 12:54 0
lixiaodog 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 46 粉丝 0 关注私信	lixiaodog 13 楼请问你是怎么得出这个结论的？ 2008-11-29 14:30 0
lixiaodog 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 46 粉丝 0 关注私信	lixiaodog 14 楼 [QUOTE=shoooo;543040]又是这种贴子哎 100AD518 dd 0 100AD51C dd 1005AA27 100AD520 dd 100AD534 100AD524 dd 100AD528 100AD528 dd -1[/QUOTE] 不是很理解，请详细说一下，谢谢了 2008-11-29 14:30 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 15 楼楼主再确认一下，确定是 CALL 100AD528 而不是 CALL [100AD528 ] 吗？ shoooo已经告诉你，这里是个函数指针，位于数据区。 2008-11-29 14:40 0
Nisy 雪币： 167 活跃值： (1574) 能力值： ( LV9，RANK：250 ) 在线值：发帖 68 回帖 668 粉丝 42 关注私信	Nisy 5 16 楼楼主让shoooo叹息了先记住结论吧有些东西从实践中来的看书是没有用的 :-) 2008-11-29 14:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (15)
okyzx 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	okyzx 2 楼关注~~~~ 2008-11-28 15:52 0
Pan88168 雪币： 439 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 1103 粉丝 8 关注私信	Pan88168 3 楼明显是花指令或是加壳保护了. 2008-11-28 16:02 0
lixiaodog 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 46 粉丝 0 关注私信	lixiaodog 4 楼不能吧。。我检测过啦，没壳如下图：上传的附件：未命名.JPG （23.03kb，114次下载） 2008-11-28 16:55 0
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 866 粉丝 4 关注私信	mstwugui 6 5 楼支持３楼，不要过于依赖某个工具，peid不报不一定就没有另外就算没壳没混淆，源代码里就不能内嵌汇编忽悠一下吗，楼主还是先看看原来那个call是否真的会被调用到，或是目标地址是否会在运行时刻被patch掉 2008-11-28 17:47 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 6 楼 [QUOTE=lixiaodog;542547] 100AD517 40 inc eax 100AD518 0000 add byte ptr ds:[eax], al 100AD51A 0000 add byte ptr ds:[eax], al 100AD51C 27 daa 100AD51D AA stos byte ptr es:[edi] 100AD51E 05 1034D50A add eax, 0AD53410 100AD523 1028 adc byte ptr ds:[eax], ch 100AD525 D50A aad 100AD527 10FF adc bh, bh 100AD529 FFFF ??? ; 未知命令 100AD52B FF00 inc dword ptr ds:[eax] 有一个地方有这样一句 CALL 100AD528 文件没有加壳[/QUOTE] 注意指令边界。而且也不排除这里是动态修改代码的可能。 2008-11-28 21:18 0
xfish 雪币： 315 活跃值： (23) 能力值： ( LV9，RANK：220 ) 在线值：发帖 10 回帖 113 粉丝 5 关注私信	xfish 5 7 楼可能是代码加密了。。 2008-11-28 22:46 0
KooJiSung 雪币： 357 活跃值： (3123) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 8 楼运行起来就知道了 2008-11-28 22:52 0
lixiaodog 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 46 粉丝 0 关注私信	lixiaodog 9 楼解释下指令边界我是菜鸟 2008-11-29 12:39 0
lixiaodog 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 46 粉丝 0 关注私信	lixiaodog 10 楼怎样确定一个EXE确实没有被加壳？ 2008-11-29 12:40 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 11 楼又是这种贴子哎 100AD518 dd 0 100AD51C dd 1005AA27 100AD520 dd 100AD534 100AD524 dd 100AD528 100AD528 dd -1 2008-11-29 12:51 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 12 楼程序没有壳楼主贴的东西在.rdata段其中1005AA27 指向.text，应该是个函数入口 2008-11-29 12:54 0
lixiaodog 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 46 粉丝 0 关注私信	lixiaodog 13 楼请问你是怎么得出这个结论的？ 2008-11-29 14:30 0
lixiaodog 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 46 粉丝 0 关注私信	lixiaodog 14 楼 [QUOTE=shoooo;543040]又是这种贴子哎 100AD518 dd 0 100AD51C dd 1005AA27 100AD520 dd 100AD534 100AD524 dd 100AD528 100AD528 dd -1[/QUOTE] 不是很理解，请详细说一下，谢谢了 2008-11-29 14:30 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 15 楼楼主再确认一下，确定是 CALL 100AD528 而不是 CALL [100AD528 ] 吗？ shoooo已经告诉你，这里是个函数指针，位于数据区。 2008-11-29 14:40 0
Nisy 雪币： 167 活跃值： (1574) 能力值： ( LV9，RANK：250 ) 在线值：发帖 68 回帖 668 粉丝 42 关注私信	Nisy 5 16 楼楼主让shoooo叹息了先记住结论吧有些东西从实践中来的看书是没有用的 :-) 2008-11-29 14:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复