首页
社区
课程
招聘
[求助]得知一个method在内存中的hex,如何解译成汇编语言?
发表于: 2009-5-3 18:37 6270

[求助]得知一个method在内存中的hex,如何解译成汇编语言?

2009-5-3 18:37
6270
//下句代码说明一个byte array b
//其长度表示为 n
byte * b = new byte[n];

60
ba
A_1[n]
b9
A_2
6a
01
b8
A_3[一个函数的地址]
ff
d0
61
c3

其技术是将这些HEX(本身是一个线程主函数)写入Remote Process的内存中,
再调用 CreateRemoteThread 去执行它们
请问要如何得出这段HEX码原本的汇编码是什么呢?
他们在编译时期是以.data方式储存的(C++)

[注意]APP应用上架合规检测服务,协助应用顺利上架!

收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 419
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
把那些HEX写入到OD里试试
2009-5-4 00:46
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
我本以为60可能是代表push之类的
但随意选了一个函式在od中改hex
结果好多个都变成push
值也变得混乱不可靠
还是我改错了呢
2009-5-4 07:29
0
雪    币: 2506
活跃值: (1030)
能力值: (RANK:990 )
在线值:
发帖
回帖
粉丝
4
[QUOTE=oscar;616277]//下句代码说明一个byte array b
//其长度表示为 n
byte * b = new byte[n];

60
ba
A_1[n]
b9
A_2
6a
01
b8
A_3[一个函数的地址]
ff
d0
61
c3

其技术是将这些H...[/QUOTE]

pushad
mov edx, A_1[n]
mov ecx, A_2
push 1
mov eax, A_3        ;一个函数的地址
call eax
popad
retn
2009-5-4 09:20
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
[QUOTE=CCDebuger;616537]pushad
mov edx, A_1[n]
mov ecx, A_2
push 1
mov eax, A_3        ;一个函数的地址
call eax
popad
retn...[/QUOTE]

请问这是输入OD里即可得出吗?谢谢
2009-5-5 11:54
0
雪    币: 2506
活跃值: (1030)
能力值: (RANK:990 )
在线值:
发帖
回帖
粉丝
6
在 OD 中找个空白地方输入你的 HEX 代码,再调整一下就可以了。有些 HEX 值都不用转换,应该可以直接可以看出对应的 ASM 代码。
2009-5-5 12:13
0
游客
登录 | 注册 方可回帖
返回
//