[收藏本方案]

Armadillo 3.7X—4.X Code Injection[6]

[入库:2005年8月19日] [更新:2007年3月24日]

本文简介:选择自 bmd2chen 的 blog
首页 上页 下页 尾页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35]

我们改成mov al,1后,程序没有注册提示了,但没过多久,程序会异常退出,看来程序或壳还是有检测,重新来过,设置内存访问断点后发现以下两个地方会读取41295c处的代码。

……

005a9cd2  |.  8a11          |mov dl,byte ptr ds:[ecx]                ;  1,这里第一个检测代码点

005a9cd4  |.  8b45 08       |mov eax,dword ptr ss:[ebp+8]

005a9cd7  |.  33c2          |xor eax,edx

005a9cd9  |.  25 ff000000   |and eax,0ff

005a9cde  |.  8b4d 08       |mov ecx,dword ptr ss:[ebp+8]

005a9ce1  |.  c1e9 08       |shr ecx,8

005a9ce4  |.  8b1485 8cba5d>|mov edx,dword ptr ds:[eax*4+5dba8c]

首页 上页 下页 尾页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35]
本文关键:Armadillo 3.7X—4.X Code Injection
  相关方案
Google
 

本站最佳浏览方式为 分辨率 1024x768 IE 6.0(或更高版本的 IE浏览器)

go top