首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]我的LoadLibraryA变得好奇怪..............
发表于: 2009-6-4 10:36 5284

[求助]我的LoadLibraryA变得好奇怪..............

imdemon 活跃值
2009-6-4 10:36
5284
想跟一下LoadLibraryA,结果CALL入后看到这个....

这是什么意思? 居然还有A8A61C30这种地址...

是谁干的啊.....................

有有相同经验的朋友指点两句吗?

7C883F9C >  55              push    ebp
7C883F9D    8BEC            mov     ebp, esp
7C883F9F    90              nop
7C883FA0    5D              pop     ebp
7C883FA1  - E9 8ADC1D2C     jmp     A8A61C30

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (8)
wyfe
雪    币: 2575
活跃值: (502)
能力值: ( LV2,RANK:85 )
在线值:
发帖
回帖
粉丝
私信
2
可能是杀毒软件卡巴干的
2009-6-4 10:40
0
imdemon
雪    币: 53
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
我也怀疑是某软件的驱动搞得飞机................
2009-6-4 10:49
0
uvbs
雪    币: 30
活跃值: (915)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
4
说明这个位置不是 RING3 代码执行的位置, 从RING0 中返回出来的代码 会跳到这里执行,经过 jmp     A8A61C30 又在跳回到 RING0........
  不知道说的对不对, 目前只能这样理解
2009-6-4 11:40
0
wyfe
雪    币: 2575
活跃值: (502)
能力值: ( LV2,RANK:85 )
在线值:
发帖
回帖
粉丝
私信
5
肯定是卡巴干的, 装了一下卡巴,就出现楼主的情况了。
估计其Hook LoadLibraryA,监视DLL的加载。
2009-6-4 11:56
0
boywhp
雪    币: 1233
活跃值: (907)
能力值: ( LV12,RANK:750 )
在线值:
发帖
回帖
粉丝
私信
6
ring3直接jmp ring0的话必须要通过调用门吧?
莫非卡巴安装了GDT的调用门???
2009-6-5 17:27
0
uvbs
雪    币: 30
活跃值: (915)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
7
看看深思3 的调试分析
2009-6-6 01:49
0
boywhp
雪    币: 1233
活跃值: (907)
能力值: ( LV12,RANK:750 )
在线值:
发帖
回帖
粉丝
私信
8
啥意思 不懂你说什么意思 发个链接看看
2009-6-6 08:30
0
vima
雪    币: 51
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
一些壳也有这样的怪地址
2009-6-6 17:56
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//