首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]神呀,众神帮助我一下吧,就一个UNKNOWN_LIBNAME函数分析了N天呀,就是分析不出,众神帮我一次吧,就一次!!这前发了一次,没有人理呀! 0.00雪花
发表于: 2009-10-5 15:12 6510

[旧帖] [求助]神呀,众神帮助我一下吧,就一个UNKNOWN_LIBNAME函数分析了N天呀,就是分析不出,众神帮我一次吧,就一次!!这前发了一次,没有人理呀! 0.00雪花

liumingabc 活跃值
2009-10-5 15:12
6510

【求助】神呀,众神帮助我一下吧,就一个UNKNOWN_LIBNAME函数分析了N天呀,就是分析不出,众神帮我一次吧,就一次!!
text:10001120                 jz      short loc_10001165
.text:10001122                 push    ecx
.text:10001123                 pop     ecx
.text:10001124                 mov     ecx, [ebp-20h]  ; //相当V5
.text:10001127                 movzx   edx, byte ptr [ecx+88h] ; //相当于136
.text:1000112E                 push    edx
.text:1000112F                 mov     eax, [ebp-20h]
.text:10001132                 add     eax, 48h        ; //相当于72
.text:10001135                 push    eax
.text:10001136                 mov     ecx, [ebp-20h]
.text:10001139                 mov     edx, [ecx+4]    ; //相当于4
.text:1000113C                 push    edx
.text:1000113D                 call    unknown_libname_1 ; Microsoft VisualC 2-8/net runtime

以下对应的C
if ( !lstrcmpA(lpString1, "Sleep") )
  {
    *(_BYTE *)(v5 + 136) = 10;
    unknown_libname_1(v5 + 8, *(_DWORD *)(v5 + 4), *(_BYTE *)(v5 + 136));
    unknown_libname_1(v5 + 72, *(_DWORD *)(v5 + 4), *(_BYTE *)(v5 + 136));
    *(_DWORD *)(v5 + 72) = 1565917067;
    *(_BYTE *)(v5 + 76) = -23;
    *(_DWORD *)(v5 + 77) = a4 - (*(_DWORD *)(v5 + 4) + 4) - 5;
    *(_BYTE *)(v5 + 81) = -112;
    *(_BYTE *)(v5 + 18) = -23;
    *(_DWORD *)(v5 + 19) = *(_DWORD *)(v5 + 4) - (v5 + 8) - 5;
    unknown_libname_1(*(_DWORD *)(v5 + 4), v5 + 72, *(_BYTE *)(v5 + 136));
    VirtualProtectEx(*(HANDLE *)v5, Buffer.BaseAddress, Buffer.RegionSize, Buffer.Protect, &Buffer.Protect);
    return 1;
  }
unknown_libname_1(*(_DWORD *)(v5 + 4), v5 + 72, *(_BYTE *)(v5 + 136));

UNKNOWN_LIBNAME_1,神呀请给个答案吧
.text:10003F30 unknown_libname_1 proc near             ; CODE XREF: .text:1000113Dp
.text:10003F30                                         ; sub_10001170+5Dp ...
.text:10003F30
.text:10003F30 arg_0           = dword ptr  8
.text:10003F30 arg_4           = dword ptr  0Ch
.text:10003F30 arg_8           = dword ptr  10h
.text:10003F30
.text:10003F30                 push    ebp
.text:10003F31                 mov     ebp, esp
.text:10003F33                 push    edi
.text:10003F34                 push    esi
.text:10003F35                 mov     esi, [ebp+arg_4]
.text:10003F38                 mov     ecx, [ebp+arg_8]
.text:10003F3B                 mov     edi, [ebp+arg_0]
.text:10003F3E                 mov     eax, ecx
.text:10003F40                 mov     edx, ecx
.text:10003F42                 add     eax, esi
.text:10003F44                 cmp     edi, esi
.text:10003F46                 jbe     short unknown_libname_2 ; Microsoft VisualC 2-8/net runtime
.text:10003F48                 cmp     edi, eax
.text:10003F4A                 jb      unknown_libname_22 ; Microsoft VisualC 2-8/net runtime
.text:10003F50
.text:10003F50 unknown_libname_2:                      ; CODE XREF: unknown_libname_1+16j
.text:10003F50                 cmp     ecx, 100h       ; Microsoft VisualC 2-8/net runtime
.text:10003F56                 jb      short unknown_libname_3 ; Microsoft VisualC 2-8/net runtime
.text:10003F58                 cmp     dword_10011460, 0
.text:10003F5F                 jz      short unknown_libname_3 ; Microsoft VisualC 2-8/net runtime
.text:10003F61                 push    edi
.text:10003F62                 push    esi
.text:10003F63                 and     edi, 0Fh
.text:10003F66                 and     esi, 0Fh
.text:10003F69                 cmp     edi, esi
.text:10003F6B                 pop     esi
.text:10003F6C                 pop     edi
.text:10003F6D                 jnz     short unknown_libname_3 ; Microsoft VisualC 2-8/net runtime
.text:10003F6F                 pop     esi
.text:10003F70                 pop     edi
.text:10003F71                 pop     ebp
.text:10003F72                 jmp     unknown_libname_45 ; Microsoft VisualC 2-8/net runtime
.text:10003F77 ; ---------------------------------------------------------------------------
.text:10003F77
.text:10003F77 unknown_libname_3:                      ; CODE XREF: unknown_libname_1+26j
.text:10003F77                                         ; unknown_libname_1+2Fj ...
.text:10003F77                 test    edi, 3          ; Microsoft VisualC 2-8/net runtime
.text:10003F7D                 jnz     short unknown_libname_4 ; Microsoft VisualC 2-8/net runtime
.text:10003F7F                 shr     ecx, 2
.text:10003F82                 and     edx, 3
.text:10003F85                 cmp     ecx, 8
.text:10003F88                 jb      short unknown_libname_6 ; Microsoft VisualC 2-8/net runtime
.text:10003F8A                 rep movsd
.text:10003F8C                 jmp     ds:off_100040A4[edx*4] ; Microsoft VisualC 2-8/net runtime
.text:10003F8C ; ---------------------------------------------------------------------------
.text:10003F93                 align 4
.text:10003F94
.text:10003F94 unknown_libname_4:                      ; CODE XREF: unknown_libname_1+4Dj
.text:10003F94                 mov     eax, edi        ; Microsoft VisualC 2-8/net runtime
.text:10003F96                 mov     edx, 3
.text:10003F9B                 sub     ecx, 4
.text:10003F9E                 jb      short unknown_libname_5 ; Microsoft VisualC 2-8/net runtime
.text:10003FA0                 and     eax, 3
.text:10003FA3                 add     ecx, eax
.text:10003FA5                 jmp     dword ptr ds:(unknown_libname_6+4)[eax*4] ; Microsoft VisualC 2-8/net runtime
.text:10003FAC ; ---------------------------------------------------------------------------
.text:10003FAC
.text:10003FAC unknown_libname_5:                      ; CODE XREF: unknown_libname_1+6Ej
.text:10003FAC                 jmp     dword ptr ds:unknown_libname_18[ecx*4] ; Microsoft VisualC 2-8/net runtime
.text:10003FAC ; ---------------------------------------------------------------------------
.text:10003FB3                 align 4
.text:10003FB4
.text:10003FB4 unknown_libname_6:                      ; CODE XREF: unknown_libname_1+58j
.text:10003FB4                                         ; unknown_libname_1+B6j ...
.text:10003FB4                 jmp     ds:off_10004038[ecx*4] ; Microsoft VisualC 2-8/net runtime
.text:10003FB4 ; ---------------------------------------------------------------------------
.text:10003FBB                 align 4
.text:10003FBC                 dd offset unknown_libname_7 ; Microsoft VisualC 2-8/net runtime
.text:10003FC0                 dd offset unknown_libname_8 ; Microsoft VisualC 2-8/net runtime
.text:10003FC4                 dd offset unknown_libname_9 ; Microsoft VisualC 2-8/net runtime
.text:10003FC8 ; ---------------------------------------------------------------------------
.text:10003FC8
.text:10003FC8 unknown_libname_7:                      ; DATA XREF: unknown_libname_1+8Co
.text:10003FC8                 and     edx, ecx        ; Microsoft VisualC 2-8/net runtime
.text:10003FCA                 mov     al, [esi]
.text:10003FCC                 mov     [edi], al
.text:10003FCE                 mov     al, [esi+1]
.text:10003FD1                 mov     [edi+1], al
.text:10003FD4                 mov     al, [esi+2]
.text:10003FD7                 shr     ecx, 2
.text:10003FDA                 mov     [edi+2], al
.text:10003FDD                 add     esi, 3
.text:10003FE0                 add     edi, 3
.text:10003FE3                 cmp     ecx, 8
.text:10003FE6                 jb      short unknown_libname_6 ; Microsoft VisualC 2-8/net runtime
.text:10003FE8                 rep movsd
.text:10003FEA                 jmp     ds:off_100040A4[edx*4] ; Microsoft VisualC 2-8/net runtime
.text:10003FEA ; ---------------------------------------------------------------------------
.text:10003FF1                 align 4
.text:10003FF4
.text:10003FF4 unknown_libname_8:                      ; DATA XREF: unknown_libname_1+90o
.text:10003FF4                 and     edx, ecx        ; Microsoft VisualC 2-8/net runtime
.text:10003FF6                 mov     al, [esi]
.text:10003FF8                 mov     [edi], al
.text:10003FFA                 mov     al, [esi+1]
.text:10003FFD                 shr     ecx, 2
.text:10004000                 mov     [edi+1], al
.text:10004003                 add     esi, 2
.text:10004006                 add     edi, 2
.text:10004009                 cmp     ecx, 8
.text:1000400C                 jb      short unknown_libname_6 ; Microsoft VisualC 2-8/net runtime
.text:1000400E                 rep movsd
.text:10004010                 jmp     ds:off_100040A4[edx*4] ; Microsoft VisualC 2-8/net runtime
.text:10004010 ; ---------------------------------------------------------------------------
.text:10004017                 align 4
.text:10004018
.text:10004018 unknown_libname_9:                      ; DATA XREF: unknown_libname_1+94o
.text:10004018                 and     edx, ecx        ; Microsoft VisualC 2-8/net runtime
.text:1000401A                 mov     al, [esi]
.text:1000401C                 mov     [edi], al
.text:1000401E                 add     esi, 1
.text:10004021                 shr     ecx, 2
.text:10004024                 add     edi, 1
.text:10004027                 cmp     ecx, 8
.text:1000402A                 jb      short unknown_libname_6 ; Microsoft VisualC 2-8/net runtime
.text:1000402C                 rep movsd
.text:1000402E                 jmp     ds:off_100040A4[edx*4] ; Microsoft VisualC 2-8/net runtime
.text:1000402E ; ---------------------------------------------------------------------------
.text:10004035                 align 4
.text:10004038 off_10004038    dd offset unknown_libname_17
.text:10004038                                         ; DATA XREF: unknown_libname_1:unknown_libname_6r
.text:10004038                                         ; Microsoft VisualC 2-8/net runtime
.text:1000403C                 dd offset unknown_libname_16 ; Microsoft VisualC 2-8/net runtime
.text:10004040                 dd offset unknown_libname_15 ; Microsoft VisualC 2-8/net runtime
.text:10004044                 dd offset unknown_libname_14 ; Microsoft VisualC 2-8/net runtime
.text:10004048                 dd offset unknown_libname_13 ; Microsoft VisualC 2-8/net runtime
.text:1000404C                 dd offset unknown_libname_12 ; Microsoft VisualC 2-8/net runtime
.text:10004050                 dd offset unknown_libname_11 ; Microsoft VisualC 2-8/net runtime
.text:10004054                 dd offset unknown_libname_10 ; Microsoft VisualC 2-8/net runtime
.text:10004058 ; ---------------------------------------------------------------------------
.text:10004058
.text:10004058 unknown_libname_10:                     ; CODE XREF: unknown_libname_1:unknown_libname_6j
.text:10004058                                         ; DATA XREF: unknown_libname_1+124o
.text:10004058                 mov     eax, [esi+ecx*4-1Ch] ; Microsoft VisualC 2-8/net runtime
.text:1000405C                 mov     [edi+ecx*4-1Ch], eax
.text:10004060
.text:10004060 unknown_libname_11:                     ; CODE XREF: unknown_libname_1:unknown_libname_6j
.text:10004060                                         ; DATA XREF: unknown_libname_1+120o
.text:10004060                 mov     eax, [esi+ecx*4-18h] ; Microsoft VisualC 2-8/net runtime
.text:10004064                 mov     [edi+ecx*4-18h], eax
.text:10004068
.text:10004068 unknown_libname_12:                     ; CODE XREF: unknown_libname_1:unknown_libname_6j
.text:10004068                                         ; DATA XREF: unknown_libname_1+11Co
.text:10004068                 mov     eax, [esi+ecx*4-14h] ; Microsoft VisualC 2-8/net runtime
.text:1000406C                 mov     [edi+ecx*4-14h], eax
.text:10004070
.text:10004070 unknown_libname_13:                     ; CODE XREF: unknown_libname_1:unknown_libname_6j
.text:10004070                                         ; DATA XREF: unknown_libname_1+118o
.text:10004070                 mov     eax, [esi+ecx*4-10h] ; Microsoft VisualC 2-8/net runtime
.text:10004074                 mov     [edi+ecx*4-10h], eax
.text:10004078
.text:10004078 unknown_libname_14:                     ; CODE XREF: unknown_libname_1:unknown_libname_6j
.text:10004078                                         ; DATA XREF: unknown_libname_1+114o
.text:10004078                 mov     eax, [esi+ecx*4-0Ch] ; Microsoft VisualC 2-8/net runtime
.text:1000407C                 mov     [edi+ecx*4-0Ch], eax
.text:10004080
.text:10004080 unknown_libname_15:                     ; CODE XREF: unknown_libname_1:unknown_libname_6j
.text:10004080                                         ; DATA XREF: unknown_libname_1+110o
.text:10004080                 mov     eax, [esi+ecx*4-8] ; Microsoft VisualC 2-8/net runtime
.text:10004084                 mov     [edi+ecx*4-8], eax
.text:10004088
.text:10004088 unknown_libname_16:                     ; CODE XREF: unknown_libname_1:unknown_libname_6j
.text:10004088                                         ; DATA XREF: unknown_libname_1+10Co
.text:10004088                 mov     eax, [esi+ecx*4-4] ; Microsoft VisualC 2-8/net runtime
.text:1000408C                 mov     [edi+ecx*4-4], eax
.text:10004090                 lea     eax, ds:0[ecx*4]
.text:10004097                 add     esi, eax
.text:10004099                 add     edi, eax
.text:1000409B
.text:1000409B unknown_libname_17:                     ; CODE XREF: unknown_libname_1:unknown_libname_6j
.text:1000409B                                         ; DATA XREF: unknown_libname_1:off_10004038o
.text:1000409B                 jmp     ds:off_100040A4[edx*4] ; Microsoft VisualC 2-8/net runtime
.text:1000409B ; ---------------------------------------------------------------------------
.text:100040A2                 align 4
.text:100040A4 off_100040A4    dd offset unknown_libname_18
.text:100040A4                                         ; DATA XREF: unknown_libname_1+5Cr
.text:100040A4                                         ; unknown_libname_1+BAr ...
.text:100040A4                                         ; Microsoft VisualC 2-8/net runtime
.text:100040A8                 dd offset unknown_libname_19 ; Microsoft VisualC 2-8/net runtime
.text:100040AC                 dd offset unknown_libname_20 ; Microsoft VisualC 2-8/net runtime
.text:100040B0                 dd offset unknown_libname_21 ; Microsoft VisualC 2-8/net runtime
.text:100040B4 ; ---------------------------------------------------------------------------
.text:100040B4
.text:100040B4 unknown_libname_18:                     ; CODE XREF: unknown_libname_1+5Cj
.text:100040B4                                         ; unknown_libname_1+BAj ...
.text:100040B4                 mov     eax, [ebp+arg_0] ; Microsoft VisualC 2-8/net runtime
.text:100040B7                 pop     esi
.text:100040B8                 pop     edi
.text:100040B9                 leave
.text:100040BA                 retn
.text:100040BA ; ---------------------------------------------------------------------------
.text:100040BB                 align 4
.text:100040BC
.text:100040BC unknown_libname_19:                     ; CODE XREF: unknown_libname_1+5Cj
.text:100040BC                                         ; unknown_libname_1+BAj ...
.text:100040BC                 mov     al, [esi]       ; Microsoft VisualC 2-8/net runtime
.text:100040BE                 mov     [edi], al
.text:100040C0                 mov     eax, [ebp+arg_0]
.text:100040C3                 pop     esi
.text:100040C4                 pop     edi
.text:100040C5                 leave
.text:100040C6                 retn
.text:100040C6 ; ---------------------------------------------------------------------------
.text:100040C7                 align 4
.text:100040C8
.text:100040C8 unknown_libname_20:                     ; CODE XREF: unknown_libname_1+5Cj
.text:100040C8                                         ; unknown_libname_1+BAj ...
.text:100040C8                 mov     al, [esi]       ; Microsoft VisualC 2-8/net runtime
.text:100040CA                 mov     [edi], al
.text:100040CC                 mov     al, [esi+1]
.text:100040CF                 mov     [edi+1], al
.text:100040D2                 mov     eax, [ebp+arg_0]
.text:100040D5                 pop     esi
.text:100040D6                 pop     edi
.text:100040D7                 leave
.text:100040D8                 retn
.text:100040D8 ; ---------------------------------------------------------------------------
.text:100040D9                 align 4
.text:100040DC
.text:100040DC unknown_libname_21:                     ; CODE XREF: unknown_libname_1+5Cj
.text:100040DC                                         ; unknown_libname_1+BAj ...
.text:100040DC                 mov     al, [esi]       ; Microsoft VisualC 2-8/net runtime
.text:100040DE                 mov     [edi], al
.text:100040E0                 mov     al, [esi+1]
.text:100040E3                 mov     [edi+1], al
.text:100040E6                 mov     al, [esi+2]
.text:100040E9                 mov     [edi+2], al
.text:100040EC                 mov     eax, [ebp+arg_0]
.text:100040EF                 pop     esi
.text:100040F0                 pop     edi
.text:100040F1                 leave
.text:100040F2                 retn
.text:100040F2 ; ---------------------------------------------------------------------------
.text:100040F3                 align 4
.text:100040F4
.text:100040F4 unknown_libname_22:                     ; CODE XREF: unknown_libname_1+1Aj
.text:100040F4                 lea     esi, [ecx+esi-4] ; Microsoft VisualC 2-8/net runtime
.text:100040F8                 lea     edi, [ecx+edi-4]
.text:100040FC                 test    edi, 3
.text:10004102                 jnz     short unknown_libname_24 ; Microsoft VisualC 2-8/net runtime
.text:10004104                 shr     ecx, 2
.text:10004107                 and     edx, 3
.text:1000410A                 cmp     ecx, 8
.text:1000410D                 jb      short unknown_libname_23 ; Microsoft VisualC 2-8/net runtime
.text:1000410F                 std
.text:10004110                 rep movsd
.text:10004112                 cld
.text:10004113                 jmp     ds:off_10004240[edx*4] ; Microsoft VisualC 2-8/net runtime
.text:10004113 ; ---------------------------------------------------------------------------
.text:1000411A                 align 4
.text:1000411C
.text:1000411C unknown_libname_23:                     ; CODE XREF: unknown_libname_1+1DDj
.text:1000411C                                         ; unknown_libname_1+238j ...
.text:1000411C                 neg     ecx             ; Microsoft VisualC 2-8/net runtime
.text:1000411E                 jmp     ds:off_100041F0[ecx*4] ; Microsoft VisualC 2-8/net runtime
.text:1000411E ; ---------------------------------------------------------------------------
.text:10004125                 align 4
.text:10004128
.text:10004128 unknown_libname_24:                     ; CODE XREF: unknown_libname_1+1D2j
.text:10004128                 mov     eax, edi        ; Microsoft VisualC 2-8/net runtime
.text:1000412A                 mov     edx, 3
.text:1000412F                 cmp     ecx, 4
.text:10004132                 jb      short unknown_libname_25 ; Microsoft VisualC 2-8/net runtime
.text:10004134                 and     eax, 3
.text:10004137                 sub     ecx, eax
.text:10004139                 jmp     dword ptr ds:(unknown_libname_25+4)[eax*4] ; Microsoft VisualC 2-8/net runtime
.text:10004140 ; ---------------------------------------------------------------------------
.text:10004140
.text:10004140 unknown_libname_25:                     ; CODE XREF: unknown_libname_1+202j
.text:10004140                                         ; DATA XREF: unknown_libname_1+209r
.text:10004140                 jmp     ds:off_10004240[ecx*4] ; Microsoft VisualC 2-8/net runtime
.text:10004140 ; ---------------------------------------------------------------------------
.text:10004147                 align 4
.text:10004148                 dd offset unknown_libname_26 ; Microsoft VisualC 2-8/net runtime
.text:1000414C                 dd offset unknown_libname_27 ; Microsoft VisualC 2-8/net runtime
.text:10004150                 dd offset unknown_libname_28 ; Microsoft VisualC 2-8/net runtime
.text:10004154 ; ---------------------------------------------------------------------------
.text:10004154
.text:10004154 unknown_libname_26:                     ; DATA XREF: unknown_libname_1+218o
.text:10004154                 mov     al, [esi+3]     ; Microsoft VisualC 2-8/net runtime
.text:10004157                 and     edx, ecx
.text:10004159                 mov     [edi+3], al
.text:1000415C                 sub     esi, 1
.text:1000415F                 shr     ecx, 2
.text:10004162                 sub     edi, 1
.text:10004165                 cmp     ecx, 8
.text:10004168                 jb      short unknown_libname_23 ; Microsoft VisualC 2-8/net runtime
.text:1000416A                 std
.text:1000416B                 rep movsd
.text:1000416D                 cld
.text:1000416E                 jmp     ds:off_10004240[edx*4] ; Microsoft VisualC 2-8/net runtime
.text:1000416E ; ---------------------------------------------------------------------------
.text:10004175                 align 4
.text:10004178
.text:10004178 unknown_libname_27:                     ; DATA XREF: unknown_libname_1+21Co
.text:10004178                 mov     al, [esi+3]     ; Microsoft VisualC 2-8/net runtime
.text:1000417B                 and     edx, ecx
.text:1000417D                 mov     [edi+3], al
.text:10004180                 mov     al, [esi+2]
.text:10004183                 shr     ecx, 2
.text:10004186                 mov     [edi+2], al
.text:10004189                 sub     esi, 2
.text:1000418C                 sub     edi, 2
.text:1000418F                 cmp     ecx, 8
.text:10004192                 jb      short unknown_libname_23 ; Microsoft VisualC 2-8/net runtime
.text:10004194                 std
.text:10004195                 rep movsd
.text:10004197                 cld
.text:10004198                 jmp     ds:off_10004240[edx*4] ; Microsoft VisualC 2-8/net runtime
.text:10004198 ; ---------------------------------------------------------------------------
.text:1000419F                 align 10h
.text:100041A0
.text:100041A0 unknown_libname_28:                     ; DATA XREF: unknown_libname_1+220o
.text:100041A0                 mov     al, [esi+3]     ; Microsoft VisualC 2-8/net runtime
.text:100041A3                 and     edx, ecx
.text:100041A5                 mov     [edi+3], al
.text:100041A8                 mov     al, [esi+2]
.text:100041AB                 mov     [edi+2], al
.text:100041AE                 mov     al, [esi+1]
.text:100041B1                 shr     ecx, 2
.text:100041B4                 mov     [edi+1], al
.text:100041B7                 sub     esi, 3
.text:100041BA                 sub     edi, 3
.text:100041BD                 cmp     ecx, 8
.text:100041C0                 jb      unknown_libname_23 ; Microsoft VisualC 2-8/net runtime
.text:100041C6                 std
.text:100041C7                 rep movsd
.text:100041C9                 cld
.text:100041CA                 jmp     ds:off_10004240[edx*4] ; Microsoft VisualC 2-8/net runtime
.text:100041CA ; ---------------------------------------------------------------------------
.text:100041D1                 align 4
.text:100041D4                 dd offset unknown_libname_29 ; Microsoft VisualC 2-8/net runtime
.text:100041D8                 dd offset unknown_libname_30 ; Microsoft VisualC 2-8/net runtime
.text:100041DC                 dd offset unknown_libname_31 ; Microsoft VisualC 2-8/net runtime
.text:100041E0                 dd offset unknown_libname_32 ; Microsoft VisualC 2-8/net runtime
.text:100041E4                 dd offset unknown_libname_33 ; Microsoft VisualC 2-8/net runtime
.text:100041E8                 dd offset unknown_libname_34 ; Microsoft VisualC 2-8/net runtime
.text:100041EC                 dd offset unknown_libname_35 ; Microsoft VisualC 2-8/net runtime
.text:100041F0 off_100041F0    dd offset unknown_libname_36
.text:100041F0                                         ; DATA XREF: unknown_libname_1+1EEr
.text:100041F0                                         ; Microsoft VisualC 2-8/net runtime
.text:100041F4 ; ---------------------------------------------------------------------------
.text:100041F4
.text:100041F4 unknown_libname_29:                     ; DATA XREF: unknown_libname_1+2A4o
.text:100041F4                 mov     eax, [esi+ecx*4+1Ch] ; Microsoft VisualC 2-8/net runtime
.text:100041F8                 mov     [edi+ecx*4+1Ch], eax
.text:100041FC
.text:100041FC unknown_libname_30:                     ; DATA XREF: unknown_libname_1+2A8o
.text:100041FC                 mov     eax, [esi+ecx*4+18h] ; Microsoft VisualC 2-8/net runtime
.text:10004200                 mov     [edi+ecx*4+18h], eax
.text:10004204
.text:10004204 unknown_libname_31:                     ; DATA XREF: unknown_libname_1+2ACo
.text:10004204                 mov     eax, [esi+ecx*4+14h] ; Microsoft VisualC 2-8/net runtime
.text:10004208                 mov     [edi+ecx*4+14h], eax
.text:1000420C
.text:1000420C unknown_libname_32:                     ; DATA XREF: unknown_libname_1+2B0o
.text:1000420C                 mov     eax, [esi+ecx*4+10h] ; Microsoft VisualC 2-8/net runtime
.text:10004210                 mov     [edi+ecx*4+10h], eax
.text:10004214
.text:10004214 unknown_libname_33:                     ; DATA XREF: unknown_libname_1+2B4o
.text:10004214                 mov     eax, [esi+ecx*4+0Ch] ; Microsoft VisualC 2-8/net runtime
.text:10004218                 mov     [edi+ecx*4+0Ch], eax
.text:1000421C
.text:1000421C unknown_libname_34:                     ; DATA XREF: unknown_libname_1+2B8o
.text:1000421C                 mov     eax, [esi+ecx*4+8] ; Microsoft VisualC 2-8/net runtime
.text:10004220                 mov     [edi+ecx*4+8], eax
.text:10004224
.text:10004224 unknown_libname_35:                     ; DATA XREF: unknown_libname_1+2BCo
.text:10004224                 mov     eax, [esi+ecx*4+4] ; Microsoft VisualC 2-8/net runtime
.text:10004228                 mov     [edi+ecx*4+4], eax
.text:1000422C                 lea     eax, ds:0[ecx*4]
.text:10004233                 add     esi, eax
.text:10004235                 add     edi, eax
.text:10004237
.text:10004237 unknown_libname_36:                     ; CODE XREF: unknown_libname_1+1EEj
.text:10004237                                         ; DATA XREF: unknown_libname_1:off_100041F0o
.text:10004237                 jmp     ds:off_10004240[edx*4] ; Microsoft VisualC 2-8/net runtime
.text:10004237 ; ---------------------------------------------------------------------------
.text:1000423E                 align 10h
.text:10004240 off_10004240    dd offset unknown_libname_37
.text:10004240                                         ; DATA XREF: unknown_libname_1+1E3r
.text:10004240                                         ; unknown_libname_1:unknown_libname_25r ...
.text:10004240                                         ; Microsoft VisualC 2-8/net runtime
.text:10004244                 dd offset unknown_libname_38 ; Microsoft VisualC 2-8/net runtime
.text:10004248                 dd offset unknown_libname_39 ; Microsoft VisualC 2-8/net runtime
.text:1000424C                 dd offset unknown_libname_40 ; Microsoft VisualC 2-8/net runtime
.text:10004250 ; ---------------------------------------------------------------------------
.text:10004250
.text:10004250 unknown_libname_37:                     ; CODE XREF: unknown_libname_1+1E3j
.text:10004250                                         ; unknown_libname_1:unknown_libname_25j ...
.text:10004250                 mov     eax, [ebp+arg_0] ; Microsoft VisualC 2-8/net runtime
.text:10004253                 pop     esi
.text:10004254                 pop     edi
.text:10004255                 leave
.text:10004256                 retn
.text:10004256 ; ---------------------------------------------------------------------------
.text:10004257                 align 4
.text:10004258
.text:10004258 unknown_libname_38:                     ; CODE XREF: unknown_libname_1+1E3j
.text:10004258                                         ; unknown_libname_1:unknown_libname_25j ...
.text:10004258                 mov     al, [esi+3]     ; Microsoft VisualC 2-8/net runtime
.text:1000425B                 mov     [edi+3], al
.text:1000425E                 mov     eax, [ebp+arg_0]
.text:10004261                 pop     esi
.text:10004262                 pop     edi
.text:10004263                 leave
.text:10004264                 retn
.text:10004264 ; ---------------------------------------------------------------------------
.text:10004265                 align 4
.text:10004268
.text:10004268 unknown_libname_39:                     ; CODE XREF: unknown_libname_1+1E3j
.text:10004268                                         ; unknown_libname_1:unknown_libname_25j ...
.text:10004268                 mov     al, [esi+3]     ; Microsoft VisualC 2-8/net runtime
.text:1000426B                 mov     [edi+3], al
.text:1000426E                 mov     al, [esi+2]
.text:10004271                 mov     [edi+2], al
.text:10004274                 mov     eax, [ebp+arg_0]
.text:10004277                 pop     esi
.text:10004278                 pop     edi
.text:10004279                 leave
.text:1000427A                 retn
.text:1000427A ; ---------------------------------------------------------------------------
.text:1000427B                 align 4
.text:1000427C
.text:1000427C unknown_libname_40:                     ; CODE XREF: unknown_libname_1+1E3j
.text:1000427C                                         ; unknown_libname_1:unknown_libname_25j ...
.text:1000427C                 mov     al, [esi+3]     ; Microsoft VisualC 2-8/net runtime
.text:1000427F                 mov     [edi+3], al
.text:10004282                 mov     al, [esi+2]
.text:10004285                 mov     [edi+2], al
.text:10004288                 mov     al, [esi+1]
.text:1000428B                 mov     [edi+1], al
.text:1000428E                 mov     eax, [ebp+arg_0]
.text:10004291                 pop     esi
.text:10004292                 pop     edi
.text:10004293                 leave
.text:10004294                 retn
.text:10004294 unknown_libname_1 endp

[课程]Linux pwn 探索篇!

收藏
免费 0
支持
分享
最新回复 (4)
loqich
雪    币: 962
活跃值: (1681)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
是memcpy 你可以用vs 对着memcpy.asm 文件看
2009-10-5 18:13
0
liumingabc
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
to loqich,我看一了下,你说是对的,万分感谢!
2009-10-6 13:37
0
artspring
雪    币: 207
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
用IDA应该能识别出memcpy
2009-10-6 17:04
0
网络游侠
雪    币: 0
活跃值: (954)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
5
那个F5实在太恶心
2009-10-8 10:44
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//