- [hwsoot] 学习 04/26 03:20
- [游客] 能不能把破解版发我啊?谢谢啊.zjjhfhj@qq.com 05/11 17:35
- [parse] 赞一个! 04/17 20:46
- [游客] 能不能把破解版发我啊?谢谢啊,673856545@qq.com 04/17 13:53
- [游客] 能不能把破解版发我啊?谢谢啊,86738484@qq.com 04/06 21:26
- [游客] 解决了 谢谢~~ 02/24 08:56
- [游客] 怎么解决的呢? 02/24 08:54
- [游客] 能把你破解的版本发给我吗,谢谢.306844939@qq.com 01/18 19:34
- [游客] 通过了,谢谢~~~ 12/06 16:38
- [gsyangchao] 非常不错! 10/09 10:43
- [游客] [url=http://www.gddzbq.com]深圳搬家公司[/url] [url=http 03/02 15:10
- [ewer87] 找到了.PHPmyadmin.. 05/24 14:00
- [ewer87] 请问你在8tt,那个数据库是怎么应用的? 是自己上传么? 为什么传不上去? 不懂。我是第 05/24 13:19
[2010-06-29 15:20] 程序入口stolen bytes处理
引用老外 LaBBa 的话。
=====================
关于stolen bytes
=====================
稍微说明一下:
每一种编译工具例如 : VC++ , Delphi , Borland , etc..
在OEP有一个唯一的/相同的PE头
其中的一些是这样的:
Push EBP
MOV Ebp,Esp
Add ESP , -xxxxx
Mov EAX, xxxxx
(共11bytes)
或者:
Push EBP
MOV Ebp,Esp
Add ESP , -xxxxx
Push EBX
Push ESi
Push EDi
Mov EAX, xxxxxx
(共14 bytes)
这个程序我们不知道
Add ESP ,-xxxxx
Mov EAX, yyyyy
xxxxx是多少?
当前 ESP=0012FEA8,EBP=0012FFC0
那么
Push EBP
MOV Ebp,Esp
Add ESP,xxxxx 执行到这里ESP=EBP=12ffc0
Mov EAX,yyyyy 执行到这里后 xxxxx=0012FFC0-12FEA8=118 Add Esp,-118, 12ffc0+(-118)=12fea8
CALL 004079B8 //当前位置EAX=0056EAB0=yyyyy Mov EAX,0056EAB0
=====================
关于stolen bytes
=====================
稍微说明一下:
每一种编译工具例如 : VC++ , Delphi , Borland , etc..
在OEP有一个唯一的/相同的PE头
其中的一些是这样的:
Push EBP
MOV Ebp,Esp
Add ESP , -xxxxx
Mov EAX, xxxxx
(共11bytes)
或者:
Push EBP
MOV Ebp,Esp
Add ESP , -xxxxx
Push EBX
Push ESi
Push EDi
Mov EAX, xxxxxx
(共14 bytes)
这个程序我们不知道
Add ESP ,-xxxxx
Mov EAX, yyyyy
xxxxx是多少?
当前 ESP=0012FEA8,EBP=0012FFC0
那么
Push EBP
MOV Ebp,Esp
Add ESP,xxxxx 执行到这里ESP=EBP=12ffc0
Mov EAX,yyyyy 执行到这里后 xxxxx=0012FFC0-12FEA8=118 Add Esp,-118, 12ffc0+(-118)=12fea8
CALL 004079B8 //当前位置EAX=0056EAB0=yyyyy Mov EAX,0056EAB0
评论次数(2) |
浏览次数(1341) |
类型(加密与解密) |
收藏此文 |
[ mywiil 发表于 2010-06-29 17:59 ]
stolen bytes ??
上面的结构应该是程序在局部变量开辟内存时的处理方式。看着眼熟的很哟。呵呵
[ gsyangchao 发表于 2011-10-09 10:43 ]
非常不错!