|
一看就没用过调试吧。 上github 搜 fjqisba 写过很多易分析插件。都是开源 |
熬夜 发表于 2024-9-19 14:40 这是免sha的呀 我是要的函数特征 |
wlp 发表于 2024-9-19 14:40 有没有源代码 |
|
本帖最后由 wlp 于 2024-9-19 15:08 编辑 自己在系统函数前面下个断点 一般是 mov eax, 系统函数偏移 ... ... call xxx 调用系统函数外壳 
004032E6 | 68 04000000 | push 4 | 004032EB | BB 48010000 | mov ebx,148 | 004032F0 | E8 59000000 | call 1.40334E | 004032F5 | 83C4 34 | add esp,34 | 红色一般是固定的,蓝色是不确定的,只要提取hex字节码搜索就找到这个函数了 提取后应该是, 68 04000000 BB 48010000 E8 59000000 83C4 34 再把蓝色换成通配符就是 68 04000000 BB ?? ?? ?? ?? E8 ?? ?? ?? ?? 83C4 34 然后就是 call 1.40334E这个函数分析,看红色部分 1002DE49 | 55 | push ebp | 1002DE4A | 8BEC | mov ebp,esp | 1002DE4C | A1 30F01610 | mov eax,dword ptr ds:[1016F030] | 1002DE51 | 0318 | add ebx,dword ptr ds:[eax] | ebx:ComparePYQuickStrLeader+BCAC8 1002DE53 | 8D4424 0C | lea eax,dword ptr ss:[esp+C] | 1002DE57 | 83EC 0C | sub esp,C | 1002DE5A | 50 | push eax | 1002DE5B | FF7424 18 | push dword ptr ss:[esp+18] | 1002DE5F | 33C0 | xor eax,eax | 1002DE61 | 894424 08 | mov dword ptr ss:[esp+8],eax | [esp+08]:L"ニ@" 1002DE65 | 894424 0C | mov dword ptr ss:[esp+C],eax | 1002DE69 | 894424 10 | mov dword ptr ss:[esp+10],eax | 1002DE6D | 8D5424 08 | lea edx,dword ptr ss:[esp+8] | [esp+08]:L"ニ@" 1002DE71 | 52 | push edx | 1002DE72 | FF13 | call dword ptr ds:[ebx] | [ebx]:GetNewSock+B770 函数表地址(eax) = 指针到整数(0x1016F030) -》 mov eax,dword ptr ds:[1016F030] 函数偏移(ebx)= 148 -》mov ebx,148 函数地址偏移 =函数偏移 + 指针到整数(函数表地址) -》add ebx,dword ptr ds:[eax] 函数地址 = 指针到整数(函数地址偏移) -》call dword ptr ds:[ebx] 调用函数(函数地址) ds:[1016F030] 然后分析这个表就能得到全部的子程序地址,配合上面的通配符搜索得到函数序号 |
TianYi_ 发表于 2024-9-19 01:39 明白xxxxxxxxxxxxxxxxxxx |
反汇编后 枚举 核心支持库 三方支持库call |
sitemap|
易语言源码|
易语言教程|
易语言论坛|
易语言模块|
手机版|
广告投放|
精易论坛
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表精易立场!
论坛帖子内容仅用于技术交流学习和研究的目的,严禁用于非法目的,否则造成一切后果自负!如帖子内容侵害到你的权益,请联系我们!
防范网络诈骗,远离网络犯罪 违法和不良信息举报QQ: 793400750,邮箱:[email protected]
网站简介:精易论坛成立于2009年,是一个程序设计学习交流技术论坛,隶属于揭阳市揭东区精易科技有限公司所有。
Powered by Discuz! X3.4 揭阳市揭东区精易科技有限公司
( 粤ICP备12094385号-1) 
粤公网安备 44522102000125 增值电信业务经营许可证 粤B2-20192173
组图打开中,请稍候......
分享
收藏
赞
踩
扫一扫,关注易界动态