关于API调用问题（请教）-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

关于API调用问题（请教）

发表于: 2004-5-16 20:57 5476

关于API调用问题（请教）

liuyilin

2004-5-16 20:57

5476

这是一个ASPRO压的记事本，发现调用API地址是动态分配的
下面的CALL DWORD PTR DS:[979E18]和CALL DWORD PTR DS:[979EC0]
两个调用但是经过跟踪发现都是JNZ USER32.77D4536E，调用同一个地址，找API调用也就不好找了，请大狭帮帮分析一下

004010DD 3C 22          CMP AL,22
004010DF 75 1B          JNZ SHORT Notepad.004010FC
004010E1 56             PUSH ESI
004010E2 FF15 189E9700 CALL DWORD PTR DS:[979E18]-----到这进入（见绿色）
------------------------------------------------------------------------
00979E24 A1 60D0D677    MOV EAX,DWORD PTR DS:[77D6D060]
00979E29 F640 02 04    TEST BYTE PTR DS:[EAX+2],4
00979E2D 56             PUSH ESI
00979E2E 8B7424 08    MOV ESI,DWORD PTR SS:[ESP+8]
00979E32  - 0F85 36B53C77 JNZ USER32.77D4536E------------调用USER32
00979E38 803E 00       CMP BYTE PTR DS:[ESI],0
00979E3B  - 0F84 C5D43977 JE USER32.77D17306
00979E41 46             INC ESI
00979E42 8BC6          MOV EAX,ESI
00979E44 5E             POP ESI
00979E45 C2 0400       RETN 4
-------------------------------------------------------------------------

004010E8 8BF0          MOV ESI,EAX
004010EA 8A00          MOV AL,BYTE PTR DS:[EAX]
004010EC 84C0          TEST AL,AL
004010EE 74 04          JE SHORT Notepad.004010F4
004010F0 3C 22          CMP AL,22
004010F2  ^ 75 ED          JNZ SHORT Notepad.004010E1
004010F4 803E 22       CMP BYTE PTR DS:[ESI],22
004010F7 75 15          JNZ SHORT Notepad.0040110E
004010F9 46             INC ESI
004010FA EB 12          JMP SHORT Notepad.0040110E
004010FC 3C 20          CMP AL,20
004010FE 7E 0E          JLE SHORT Notepad.0040110E
00401100 56             PUSH ESI
00401101 FF15 C09E9700 CALL DWORD PTR DS:[979EC0]-----到这进入（见绿色）
-----------------------------------------------------------------------
00979ECC A1 60D0D677    MOV EAX,DWORD PTR DS:[77D6D060]
      00979ED1 F640 02 04    TEST BYTE PTR DS:[EAX+2],4
      00979ED5 56             PUSH ESI
      00979ED6 8B7424 08    MOV ESI,DWORD PTR SS:[ESP+8]
      00979EDA 3E:EB 02       JMP SHORT 00979EDF                      ; 多余的前缀
      00979EDD CD 20          INT 20
00979EDF  - 0F85 89B43C77 JNZ USER32.77D4536E------------调用USER32

                  00979EE5 803E 00       CMP BYTE PTR DS:[ESI],0
      00979EE8 64:EB 02       JMP SHORT 00979EED                      ; 多余的前缀
      00979EEB CD 20          INT 20
      00979EED  - 0F84 13D43977 JE USER32.77D17306
      00979EF3 46             INC ESI
      00979EF4 8BC6          MOV EAX,ESI
      00979EF6 5E             POP ESI
      00979EF7 C2 0400       RETN 4

      ------------------------------------------------------------------------

00401107 8038 20       CMP BYTE PTR DS:[EAX],20
0040110A 8BF0          MOV ESI,EAX
0040110C  ^ 7F F2          JG SHORT Notepad.00401100

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・1

免费・6

支持

最新回复 (3)
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 2 楼附件点击下载：附件！ 2004-5-16 21:00 0
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 3 楼最初由 liuyilin 发布附件点击下载：附件！ deng 2004-5-16 22:26 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼 ASProtect 1.3 以后的加壳就有这样的效果了 2004-5-17 00:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

liuyilin

发帖

1007

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 2 楼附件点击下载：附件！ 2004-5-16 21:00 0
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 3 楼最初由 liuyilin 发布附件点击下载：附件！ deng 2004-5-16 22:26 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼 ASProtect 1.3 以后的加壳就有这样的效果了 2004-5-17 00:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复