吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 1099|回复: 3
收起左侧

[求助] DLL中函数 返回上层跳转到另一个DLL

[复制链接]
幽溪左畔 发表于 2022-1-12 10:40
本帖最后由 幽溪左畔 于 2022-1-12 10:49 编辑

分析VX的时候 断在一个函数那里 ctrl+F9 直接跳转到另一个DLL中了 是不是说明这个函数是个导出函数? 该怎么构造才能调用呢?(调用方的代码被VM 传的什么参数都不清楚了 = = )
6A813AFD | CC                  | int3                               |
6A813AFE | CC                  | int3                               |
6A813AFF | CC                  | int3                               |
6A813B00 | 55                  | push ebp                           | [[esp+0x8-0x4]+0x4]
6A813B01 | 8BEC                | mov ebp,esp                        | 
6A813B03 | 6A FF               | push FFFFFFFF                      |
6A813B05 | 68 8885926B         | push wechatwin.6B928588            |
6A813B0A | 64:A1 00000000      | mov eax,dword ptr fs:[0]           | [00000000]:&"(鹖\v|:恔\x01"
6A813B10 | 50                  | push eax                           |
6A813B11 | 83EC 54             | sub esp,54                         |
6A813B14 | 53                  | push ebx                           |
6A813B15 | 56                  | push esi                           |
6A813B16 | 57                  | push edi                           |
6A813B17 | A1 A09BF66B         | mov eax,dword ptr ds:[6BF69BA0]    | 6BF69BA0:"~<R\x1B"
6A813B1C | 33C5                | xor eax,ebp                        |
6A813B1E | 50                  | push eax                           |
6A813B1F | 8D45 F4             | lea eax,dword ptr ss:[ebp-C]       |
6A813B22 | 64:A3 00000000      | mov dword ptr fs:[0],eax           | 
6A813B28 | 8B75 08             | mov esi,dword ptr ss:[ebp+8]       | 
6A813B2B | 8D4D A0             | lea ecx,dword ptr ss:[ebp-60]      |
6A813B2E | 6A 00               | push 0                             |
6A813B30 | 8D46 04             | lea eax,dword ptr ds:[esi+4]       |

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

云飞扬 发表于 2022-1-12 13:03
没明白什么意思
tsoo 发表于 2022-1-17 03:57
CTRL+F9跳到另一个DLL只说明这个DLL有调用这个函数,  一般有很大可能是导出函数,  但也可能导出的是C++类或者类COM接口方式调用, 这种情况下可能就不是直接导出的这个函数;

具体是否导出可以用PE工具看导出表来确认. 也可以在IDA的Export窗口搜一下; 或者直接在x64dbg 符号窗口看看;
 楼主| 幽溪左畔 发表于 2022-1-17 09:45
tsoo 发表于 2022-1-17 03:57
CTRL+F9跳到另一个DLL只说明这个DLL有调用这个函数,  一般有很大可能是导出函数,  但也可能导出的是C++类或 ...

感谢 又get了新知识
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止回复与主题无关非技术内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 23:06

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表