好友
阅读权限10
听众
最后登录1970-1-1
|
本帖最后由 Nocturne 于 2013-7-13 16:03 编辑
当我们按下QUIT 就看到警醒语 我心想能不能屏蔽掉
通过搜索字符串 我来到了
在红色框这里下断了。
F9走起,然后单步慢慢过去。
这里就是呼出信息框的CALL,如果NOP掉信息框应该就不会弹出 事实证明也是如此。
这个时候我们点下一步就会跳到下一行,应该就是执行销毁程序了。
但是好奇心让我想进去看看CALL里面究竟是什么,于是我双击了进去,当然这个时候已经重新运行了一次。
在CALL那里断点,进入了CALL的内部,
接着我们跳到了这里
我心想这个JMP跳跃好大啊,难道直接跳到销毁窗口?
于是我又双击进去
但进去到里面我就不懂了。
不知道为什么突然发不了图,我用文本吧,进入到JMP里面就变成了,
0041B480 . 8D4424 08 lea eax,dword ptr ss:[esp+0x8]
0041B484 . 83EC 0C sub esp,0xC
0041B487 . 50 push eax
0041B488 . FF7424 14 push dword ptr ss:[esp+0x14]
0041B48C . 33C0 xor eax,eax
0041B48E . 894424 08 mov dword ptr ss:[esp+0x8],eax
0041B492 . 894424 0C mov dword ptr ss:[esp+0xC],eax
0041B496 . 894424 10 mov dword ptr ss:[esp+0x10],eax
0041B49A . 8D5424 08 lea edx,dword ptr ss:[esp+0x8]
0041B49E . 52 push edx
0041B49F . FFD3 call ebx
0041B4A1 . 8B4424 0C mov eax,dword ptr ss:[esp+0xC]
0041B4A5 . 8B5424 10 mov edx,dword ptr ss:[esp+0x10]
0041B4A9 . 8B4C24 14 mov ecx,dword ptr ss:[esp+0x14]
0041B4AD . 83C4 18 add esp,0x18
0041B4B0 . C3 retn
具体什么作用不知道,希望有大大能够教教
于是我返回到
开始那个CALL继续单步走下去,当运行到第二个CALL的时候,程序还没销毁,继续F8走下去,等等回去看看第二个CALL是有什么用途,结果F8了好一会儿都没销毁,里面的东西我也看不懂,有点迷糊了。
然后回去第二个CALL里面看居然也是一大堆跳转,后来接着继续F8下去。
设想了一下是不是后面都把值推出去了。接着程序就销毁了,我也不太懂,CALL里面的成分,但是可以知道的是第一个CALL执行的是信息框的弹出,而第二个执行的是销毁程序。 |
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2013-7-13 15:56
|
发表于 2013-7-13 16:05
