闪三vm牌问题求助
点击联系发帖人
时间:2018-04-25 21:35
[求助]一段VM代码求还原
一段VM代码求还原
//[006AACC0]函数地址
006AACC0&&&&2B49&FC&&&&&&&&&sub&ecx,dword&ptr&ds:[ecx-0x4]
006AACC3&&&&81E9&&&&sub&ecx,0x314
006AACC9&&^&E9&C2FEFEFF&&&&&jmp&XClient.0069AB90
0069AB90&&&&8B81&48FFFFFF&&&mov&eax,dword&ptr&ds:[ecx-0xB8]
0069AB96&&&&C3&&&&&&&&&&&&&&retn
0069AB97&&&&CC&&&&&&&&&&&&&&int3
00721D6C&&&&FFFF&&&&&&&&&&&&???&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&未知命令
00721D6E&&&&8985&C4FEFFFF&&&mov&dword&ptr&ss:[ebp-0x13C],eax
00721D74&&&&8B4F&04&&&&&&&&&mov&ecx,dword&ptr&ds:[edi+0x4]
00721D77&&&&8B51&04&&&&&&&&&mov&edx,dword&ptr&ds:[ecx+0x4]
00721D7A&&&&8B443A&04&&&&&&&mov&eax,dword&ptr&ds:[edx+edi+0x4]
00721D7E&&&&8D4C3A&04&&&&&&&lea&ecx,dword&ptr&ds:[edx+edi+0x4]&&&&&;[013CA0E0]+3d8+4
00721D82&&&&8B50&1C&&&&&&&&&mov&edx,dword&ptr&ds:[eax+0x1C]
00721D85&&&&FFD2&&&&&&&&&&&&call&edx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&edx=006AACC0
00721D87&&&&8B8D&F0FEFFFF&&&mov&ecx,dword&ptr&ss:[ebp-0x110]&
00721D8D&&&&8985&C0FEFFFF&&&mov&dword&ptr&ss:[ebp-0x140],eax
00721D93&&&&8B85&F8FEFFFF&&&mov&eax,dword&ptr&ss:[ebp-0x108]
00721D99&&&&89B5&C8FEFFFF&&&mov&dword&ptr&ss:[ebp-0x138],esi
00721D9F&&&&52&&&&&&&&&&&&&&push&edx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&edx&=&006AACC0&是个函数地址,
00721DA0&&&&E8&&&&&&call&XClient.00721DA6&&&&&&&&&&&&&&&&&&&&;&
00721DA5&&&&7A&5A&&&&&&&&&&&jpe&XXClient.00721E01
00721DA7&&&&8D92&BF692E01&&&lea&edx,dword&ptr&ds:[edx+0x12E69BF]&&&&&;&0e69bf
00721DAD&&&&FFE2&&&&&&&&&&&&jmp&edx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&JMP&01A08764地址
00721DAF&&^&73&9D&&&&&&&&&&&jnb&XXClient.00721D4E
00721DA6&&&&5A&&&&&&&&&&&&&&pop&edx
00721DA7&&&&8D92&BF692E01&&&lea&edx,dword&ptr&ds:[edx+0x12E69BF]&&&&&;&0e69bf
00721DAD&&&&FFE2&&&&&&&&&&&&jmp&edx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&JMP&01A08764//2.0
01A08764&&&&5A&&&&&&&&&&&&&&pop&edx
01A08765&&&&889D&CCFEFFFF&&&mov&byte&ptr&ss:[ebp-0x134],bl
01A0876B&&&&899D&D1FEFFFF&&&mov&dword&ptr&ss:[ebp-0x12F],ebx&&&&&&&&&;ebx=0
01A08771&&&&899D&D5FEFFFF&&&mov&dword&ptr&ss:[ebp-0x12B],ebx&&&&&&&&&;&
01A08777&&&&899D&D9FEFFFF&&&mov&dword&ptr&ss:[ebp-0x127],ebx
01A0877D&&&&899D&DDFEFFFF&&&mov&dword&ptr&ss:[ebp-0x123],ebx
01A08783&&&&899D&E1FEFFFF&&&mov&dword&ptr&ss:[ebp-0x11F],ebx
01A08789&&&&899D&E5FEFFFF&&&mov&dword&ptr&ss:[ebp-0x11B],ebx
01A0878F&&&&0&&&cmp&dword&ptr&ds:[ecx+0x1DE0],ebx
01A08795&&&&8B80&64F10300&&&mov&eax,dword&ptr&ds:[eax+0x3F164]&&&&&&&
01A0879B&&-&0F86&26F9E5FE&&&jbe&XClient.&&&&&&&&&&&&&&&&&&&&&;&跳了
01A087A1&&&&52&&&&&&&&&&&&&&push&edx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;不跳就什么都不做
01A087A2&&&&E8&&&&&&call&XClient.01A087A8
01A087A7&&&&75&5A&&&&&&&&&&&jnz&XXClient.01A08803
01A087A9&&&&8D92&4F95FDFF&&&lea&edx,dword&ptr&ds:[edx+0xFFFD954F]
01A087AF&&&&FFD2&&&&&&&&&&&&call&edx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&edx=006AACC0
01A087B1&&^&74&8D&&&&&&&&&&&je&XXClient.01A08740
jbe&XClient.的地址
&&&&899D&CDFEFFFF&&&mov&dword&ptr&ss:[ebp-0x133],ebx&&&&&&&&&&&&;&ebx=0
008680CD&&&&B9&B41DCF71&&&&&mov&ecx,0x71CF1DB4
&&&&8D89&F059D08F&&&lea&ecx,dword&ptr&ds:[ecx+0x8FD059F0]&&&&;&71CF1DB4+8FD059F0=
&&&&FFE1&&&&&&&&&&&&jmp&ecx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&JMP到019F77A4地址
019F77A4&&&&81EC&2C000000&&&sub&esp,0x2C&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&sub&esp,0x2C&&
019F77AA&&&&9C&&&&&&&&&&&&&&pushfd&&&&&&&&&&&&&&&&&&&&&&&&
019F77AB&&&&C7C1&3233216C&&&mov&ecx,0x6C213332
019F77B1&&&&51&&&&&&&&&&&&&&push&ecx
019F77B2&&&&C7FEF&mov&dword&ptr&ss:[esp],0xEF3F54D3
019F77B9&&&&E5C44&add&dword&ptr&ss:[esp],0x445C2E26
019F77C0&&&&030C24&&&&&&&&&&add&ecx,dword&ptr&ss:[esp]
019F77C3&&&&8DA424&&lea&esp,dword&ptr&ss:[esp+0x4]
019F77CA&&&&81F9&21B6BC9F&&&cmp&ecx,0x9FBCB621
019F77D0&&&&8D89&A61A67E6&&&lea&ecx,dword&ptr&ds:[ecx+0xE6671AA6]
019F77D6&&&&8D89&392FDC79&&&lea&ecx,dword&ptr&ds:[ecx+0x79DC2F39]
019F77DC&&&&9D&&&&&&&&&&&&&&popfd
019F77DD&&&&51&&&&&&&&&&&&&&push&ecx
019F77DE&&&&59&&&&&&&&&&&&&&pop&ecx
019F77DF&&&&8BFC&&&&&&&&&&&&mov&edi,esp
019F77E1&&&&52&&&&&&&&&&&&&&push&edx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&edx=006AACC0
019F77E2&&&&E8&&&&&&call&XClient.019F77E8
019F77E7&&&&E1&5A&&&&&&&&&&&loopde&XXClient.019F7843&&&&&&&&&&&&&&&&&;&19f77e7+FFFFB9DF&=&019F31C6
019F77E9&&&&8D92&DFB9FFFF&&&lea&edx,dword&ptr&ds:[edx+0xFFFFB9DF]
019F77EF&&&&FFD2&&&&&&&&&&&&call&edx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&edx=019F31C6
019F77E8&&&&5A&&&&&&&&&&&&&&pop&edx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&来自CALL.019F77E8
019F77E9&&&&8D92&DFB9FFFF&&&lea&edx,dword&ptr&ds:[edx+0xFFFFB9DF]
019F77EF&&&&FFD2&&&&&&&&&&&&call&edx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&edx=019F31C6//5.0019F31C6&&&&5A&&&&&&&&&&&&&&pop&edx
019F31C7&&&&5A&&&&&&&&&&&&&&pop&edx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&pop完edx=006AACC0
019F31C8&&&&8DB5&C0FEFFFF&&&lea&esi,dword&ptr&ss:[ebp-0x140]
019F31CE&&&&F3:A5&&&&&&&&&&&rep&movs&dword&ptr&es:[edi],dword&ptr&ds:[esi];
019F31D0&&&&A4&&&&&&&&&&&&&&movs&byte&ptr&es:[edi],byte&ptr&ds:[esi]&&&&&&&&&&&;
019F31D1&&&&E8&809FFCFF&&&&&call&XClient.019BD156&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;返回0x28
019F31D6&&&&FF35&E8573B01&&&push&dword&ptr&ds:[0x13B57E8]
019F31DC&&&&58&&&&&&&&&&&&&&pop&eax
019F31DD&&&&81C4&2C000000&&&add&esp,0x2C&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;add&esp,0x2C
019F31E3&&&&51&&&&&&&&&&&&&&push&ecx
019F31E4&&&&50&&&&&&&&&&&&&&push&eax
019F31E5&&&&59&&&&&&&&&&&&&&pop&ecx
019F31E6&&&&3BCB&&&&&&&&&&&&cmp&ecx,ebx
019F31E8&&&&59&&&&&&&&&&&&&&pop&ecx
019F31E9&&&&52&&&&&&&&&&&&&&push&edx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;edx=006AACC0
019F31EA&&&&E8&&&&&&call&XClient.019F31F0
019F31EF&&&&E3&5A&&&&&&&&&&&jecxz&XXClient.019F324B
019F31F1&&&&8D92&A4490000&&&lea&edx,dword&ptr&ds:[edx+0x49A4]&&&&&&&&&&&&&&&&&&;&019F31ef+49a4=19F7B93
019F31F7&&&&FFE2&&&&&&&&&&&&jmp&edx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&JMP到19F7B93
019F31F0&&&&5A&&&&&&&&&&&&&&pop&edx
019F31F1&&&&8D92&A4490000&&&lea&edx,dword&ptr&ds:[edx+0x49A4]&&&&&&&&&&&&&&&&&&;&019F31ef+49a4=19F7B93
019F31F7&&&&FFE2&&&&&&&&&&&&jmp&edx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&JMP到19F7B93//6.0
019F7B93&&&&5A&&&&&&&&&&&&&&pop&edx
019F7B94&&&&0F84&C1920000&&&je&XClient.01A00E5B&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&没跳
019F7B9A&&&&53&&&&&&&&&&&&&&push&ebx
019F7B9B&&&&BB&3E9A139C&&&&&mov&ebx,0x9C139A3E
019F7BA0&&&&8D9B&93BD8B65&&&lea&ebx,dword&ptr&ds:[ebx+0x658BBD93]
019F7BA6&&&&871C24&&&&&&&&&&xchg&dword&ptr&ss:[esp],ebx
019F7BA9&&&&C3&&&&&&&&&&&&&&retn&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;retn
支付方式:
最新回复 (12)
vm ??????????????
[QUOTE=1207112]一段VM代码求还原
//[006AACC0]函数地址
006AACC0&&&&2B49&FC&&&&&&&&&sub&ecx,dwor...[/QUOTE]
为什么放弃治疗?
他弄上来的是啥玩意……连个bin都不上……当大家是神啊
[QUOTE=1207112]一段VM代码求还原
//[006AACC0]函数地址
006AACC0&&&&2B49&FC&&&&&&&&&sub&ecx,dwor...[/QUOTE]
为什么放弃治疗?
我和小伙伴们都惊呆了。
小伙子很猛啊
//[006AACC0]函数地址
看具体代码
push edx的地址是006AACC0
很多地方用到了push edx,一直==006AACC0地址
都是近CALL跳
不知道push edx是什么用意
这段代码和edx的地址好象没什么关系
006AACC0函数执行完就是retn
同时谢谢大家的关注
看的是[具体代码]
不是[006AACC0]函数地址
[006AACC0]函数地址只是VM里调用很多次push edx,而edx=006AACC0
所以才贴出这断代码
对不起,误导大家了
[QUOTE=1207424]同时谢谢大家的关注
看的是[具体代码]
不是[006AACC0]函数地址
[006AACC0]函数地址只是VM里调用很多次push edx,而edx=006AACC0
所以才贴出这断代码
对不起,误导大家了[/QUOTE]
跟你说……还原vm是个复杂的问题……得慢慢跟踪,这种问题你只能自己搞,不能指望别人……
1.请先关注公众号。
2.点击菜单"更多"。
3.选择获取下载码。您需要通过验证再能继续浏览 3秒后开始验证
丨 粤ICP备号-10 丨 新三板上市公司威锋科技(836555)
增值电信业务经营许可证:
Powered by Discuz!
(C) Joyslink Inc. All rights reserved 保留所有权利}
一段VM代码求还原
//[006AACC0]函数地址
006AACC0&&&&2B49&FC&&&&&&&&&sub&ecx,dword&ptr&ds:[ecx-0x4]
006AACC3&&&&81E9&&&&sub&ecx,0x314
006AACC9&&^&E9&C2FEFEFF&&&&&jmp&XClient.0069AB90
0069AB90&&&&8B81&48FFFFFF&&&mov&eax,dword&ptr&ds:[ecx-0xB8]
0069AB96&&&&C3&&&&&&&&&&&&&&retn
0069AB97&&&&CC&&&&&&&&&&&&&&int3
00721D6C&&&&FFFF&&&&&&&&&&&&???&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&未知命令
00721D6E&&&&8985&C4FEFFFF&&&mov&dword&ptr&ss:[ebp-0x13C],eax
00721D74&&&&8B4F&04&&&&&&&&&mov&ecx,dword&ptr&ds:[edi+0x4]
00721D77&&&&8B51&04&&&&&&&&&mov&edx,dword&ptr&ds:[ecx+0x4]
00721D7A&&&&8B443A&04&&&&&&&mov&eax,dword&ptr&ds:[edx+edi+0x4]
00721D7E&&&&8D4C3A&04&&&&&&&lea&ecx,dword&ptr&ds:[edx+edi+0x4]&&&&&;[013CA0E0]+3d8+4
00721D82&&&&8B50&1C&&&&&&&&&mov&edx,dword&ptr&ds:[eax+0x1C]
00721D85&&&&FFD2&&&&&&&&&&&&call&edx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&edx=006AACC0
00721D87&&&&8B8D&F0FEFFFF&&&mov&ecx,dword&ptr&ss:[ebp-0x110]&
00721D8D&&&&8985&C0FEFFFF&&&mov&dword&ptr&ss:[ebp-0x140],eax
00721D93&&&&8B85&F8FEFFFF&&&mov&eax,dword&ptr&ss:[ebp-0x108]
00721D99&&&&89B5&C8FEFFFF&&&mov&dword&ptr&ss:[ebp-0x138],esi
00721D9F&&&&52&&&&&&&&&&&&&&push&edx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&edx&=&006AACC0&是个函数地址,
00721DA0&&&&E8&&&&&&call&XClient.00721DA6&&&&&&&&&&&&&&&&&&&&;&
00721DA5&&&&7A&5A&&&&&&&&&&&jpe&XXClient.00721E01
00721DA7&&&&8D92&BF692E01&&&lea&edx,dword&ptr&ds:[edx+0x12E69BF]&&&&&;&0e69bf
00721DAD&&&&FFE2&&&&&&&&&&&&jmp&edx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&JMP&01A08764地址
00721DAF&&^&73&9D&&&&&&&&&&&jnb&XXClient.00721D4E
00721DA6&&&&5A&&&&&&&&&&&&&&pop&edx
00721DA7&&&&8D92&BF692E01&&&lea&edx,dword&ptr&ds:[edx+0x12E69BF]&&&&&;&0e69bf
00721DAD&&&&FFE2&&&&&&&&&&&&jmp&edx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&JMP&01A08764//2.0
01A08764&&&&5A&&&&&&&&&&&&&&pop&edx
01A08765&&&&889D&CCFEFFFF&&&mov&byte&ptr&ss:[ebp-0x134],bl
01A0876B&&&&899D&D1FEFFFF&&&mov&dword&ptr&ss:[ebp-0x12F],ebx&&&&&&&&&;ebx=0
01A08771&&&&899D&D5FEFFFF&&&mov&dword&ptr&ss:[ebp-0x12B],ebx&&&&&&&&&;&
01A08777&&&&899D&D9FEFFFF&&&mov&dword&ptr&ss:[ebp-0x127],ebx
01A0877D&&&&899D&DDFEFFFF&&&mov&dword&ptr&ss:[ebp-0x123],ebx
01A08783&&&&899D&E1FEFFFF&&&mov&dword&ptr&ss:[ebp-0x11F],ebx
01A08789&&&&899D&E5FEFFFF&&&mov&dword&ptr&ss:[ebp-0x11B],ebx
01A0878F&&&&0&&&cmp&dword&ptr&ds:[ecx+0x1DE0],ebx
01A08795&&&&8B80&64F10300&&&mov&eax,dword&ptr&ds:[eax+0x3F164]&&&&&&&
01A0879B&&-&0F86&26F9E5FE&&&jbe&XClient.&&&&&&&&&&&&&&&&&&&&&;&跳了
01A087A1&&&&52&&&&&&&&&&&&&&push&edx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;不跳就什么都不做
01A087A2&&&&E8&&&&&&call&XClient.01A087A8
01A087A7&&&&75&5A&&&&&&&&&&&jnz&XXClient.01A08803
01A087A9&&&&8D92&4F95FDFF&&&lea&edx,dword&ptr&ds:[edx+0xFFFD954F]
01A087AF&&&&FFD2&&&&&&&&&&&&call&edx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&edx=006AACC0
01A087B1&&^&74&8D&&&&&&&&&&&je&XXClient.01A08740
jbe&XClient.的地址
&&&&899D&CDFEFFFF&&&mov&dword&ptr&ss:[ebp-0x133],ebx&&&&&&&&&&&&;&ebx=0
008680CD&&&&B9&B41DCF71&&&&&mov&ecx,0x71CF1DB4
&&&&8D89&F059D08F&&&lea&ecx,dword&ptr&ds:[ecx+0x8FD059F0]&&&&;&71CF1DB4+8FD059F0=
&&&&FFE1&&&&&&&&&&&&jmp&ecx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&JMP到019F77A4地址
019F77A4&&&&81EC&2C000000&&&sub&esp,0x2C&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&sub&esp,0x2C&&
019F77AA&&&&9C&&&&&&&&&&&&&&pushfd&&&&&&&&&&&&&&&&&&&&&&&&
019F77AB&&&&C7C1&3233216C&&&mov&ecx,0x6C213332
019F77B1&&&&51&&&&&&&&&&&&&&push&ecx
019F77B2&&&&C7FEF&mov&dword&ptr&ss:[esp],0xEF3F54D3
019F77B9&&&&E5C44&add&dword&ptr&ss:[esp],0x445C2E26
019F77C0&&&&030C24&&&&&&&&&&add&ecx,dword&ptr&ss:[esp]
019F77C3&&&&8DA424&&lea&esp,dword&ptr&ss:[esp+0x4]
019F77CA&&&&81F9&21B6BC9F&&&cmp&ecx,0x9FBCB621
019F77D0&&&&8D89&A61A67E6&&&lea&ecx,dword&ptr&ds:[ecx+0xE6671AA6]
019F77D6&&&&8D89&392FDC79&&&lea&ecx,dword&ptr&ds:[ecx+0x79DC2F39]
019F77DC&&&&9D&&&&&&&&&&&&&&popfd
019F77DD&&&&51&&&&&&&&&&&&&&push&ecx
019F77DE&&&&59&&&&&&&&&&&&&&pop&ecx
019F77DF&&&&8BFC&&&&&&&&&&&&mov&edi,esp
019F77E1&&&&52&&&&&&&&&&&&&&push&edx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&edx=006AACC0
019F77E2&&&&E8&&&&&&call&XClient.019F77E8
019F77E7&&&&E1&5A&&&&&&&&&&&loopde&XXClient.019F7843&&&&&&&&&&&&&&&&&;&19f77e7+FFFFB9DF&=&019F31C6
019F77E9&&&&8D92&DFB9FFFF&&&lea&edx,dword&ptr&ds:[edx+0xFFFFB9DF]
019F77EF&&&&FFD2&&&&&&&&&&&&call&edx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&edx=019F31C6
019F77E8&&&&5A&&&&&&&&&&&&&&pop&edx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&来自CALL.019F77E8
019F77E9&&&&8D92&DFB9FFFF&&&lea&edx,dword&ptr&ds:[edx+0xFFFFB9DF]
019F77EF&&&&FFD2&&&&&&&&&&&&call&edx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&edx=019F31C6//5.0019F31C6&&&&5A&&&&&&&&&&&&&&pop&edx
019F31C7&&&&5A&&&&&&&&&&&&&&pop&edx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&pop完edx=006AACC0
019F31C8&&&&8DB5&C0FEFFFF&&&lea&esi,dword&ptr&ss:[ebp-0x140]
019F31CE&&&&F3:A5&&&&&&&&&&&rep&movs&dword&ptr&es:[edi],dword&ptr&ds:[esi];
019F31D0&&&&A4&&&&&&&&&&&&&&movs&byte&ptr&es:[edi],byte&ptr&ds:[esi]&&&&&&&&&&&;
019F31D1&&&&E8&809FFCFF&&&&&call&XClient.019BD156&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;返回0x28
019F31D6&&&&FF35&E8573B01&&&push&dword&ptr&ds:[0x13B57E8]
019F31DC&&&&58&&&&&&&&&&&&&&pop&eax
019F31DD&&&&81C4&2C000000&&&add&esp,0x2C&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;add&esp,0x2C
019F31E3&&&&51&&&&&&&&&&&&&&push&ecx
019F31E4&&&&50&&&&&&&&&&&&&&push&eax
019F31E5&&&&59&&&&&&&&&&&&&&pop&ecx
019F31E6&&&&3BCB&&&&&&&&&&&&cmp&ecx,ebx
019F31E8&&&&59&&&&&&&&&&&&&&pop&ecx
019F31E9&&&&52&&&&&&&&&&&&&&push&edx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;edx=006AACC0
019F31EA&&&&E8&&&&&&call&XClient.019F31F0
019F31EF&&&&E3&5A&&&&&&&&&&&jecxz&XXClient.019F324B
019F31F1&&&&8D92&A4490000&&&lea&edx,dword&ptr&ds:[edx+0x49A4]&&&&&&&&&&&&&&&&&&;&019F31ef+49a4=19F7B93
019F31F7&&&&FFE2&&&&&&&&&&&&jmp&edx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&JMP到19F7B93
019F31F0&&&&5A&&&&&&&&&&&&&&pop&edx
019F31F1&&&&8D92&A4490000&&&lea&edx,dword&ptr&ds:[edx+0x49A4]&&&&&&&&&&&&&&&&&&;&019F31ef+49a4=19F7B93
019F31F7&&&&FFE2&&&&&&&&&&&&jmp&edx&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&JMP到19F7B93//6.0
019F7B93&&&&5A&&&&&&&&&&&&&&pop&edx
019F7B94&&&&0F84&C1920000&&&je&XClient.01A00E5B&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;&没跳
019F7B9A&&&&53&&&&&&&&&&&&&&push&ebx
019F7B9B&&&&BB&3E9A139C&&&&&mov&ebx,0x9C139A3E
019F7BA0&&&&8D9B&93BD8B65&&&lea&ebx,dword&ptr&ds:[ebx+0x658BBD93]
019F7BA6&&&&871C24&&&&&&&&&&xchg&dword&ptr&ss:[esp],ebx
019F7BA9&&&&C3&&&&&&&&&&&&&&retn&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&;retn
支付方式:
最新回复 (12)
vm ??????????????
[QUOTE=1207112]一段VM代码求还原
//[006AACC0]函数地址
006AACC0&&&&2B49&FC&&&&&&&&&sub&ecx,dwor...[/QUOTE]
为什么放弃治疗?
他弄上来的是啥玩意……连个bin都不上……当大家是神啊
[QUOTE=1207112]一段VM代码求还原
//[006AACC0]函数地址
006AACC0&&&&2B49&FC&&&&&&&&&sub&ecx,dwor...[/QUOTE]
为什么放弃治疗?
我和小伙伴们都惊呆了。
小伙子很猛啊
//[006AACC0]函数地址
看具体代码
push edx的地址是006AACC0
很多地方用到了push edx,一直==006AACC0地址
都是近CALL跳
不知道push edx是什么用意
这段代码和edx的地址好象没什么关系
006AACC0函数执行完就是retn
同时谢谢大家的关注
看的是[具体代码]
不是[006AACC0]函数地址
[006AACC0]函数地址只是VM里调用很多次push edx,而edx=006AACC0
所以才贴出这断代码
对不起,误导大家了
[QUOTE=1207424]同时谢谢大家的关注
看的是[具体代码]
不是[006AACC0]函数地址
[006AACC0]函数地址只是VM里调用很多次push edx,而edx=006AACC0
所以才贴出这断代码
对不起,误导大家了[/QUOTE]
跟你说……还原vm是个复杂的问题……得慢慢跟踪,这种问题你只能自己搞,不能指望别人……
1.请先关注公众号。
2.点击菜单"更多"。
3.选择获取下载码。您需要通过验证再能继续浏览 3秒后开始验证
丨 粤ICP备号-10 丨 新三板上市公司威锋科技(836555)
增值电信业务经营许可证:
Powered by Discuz!
(C) Joyslink Inc. All rights reserved 保留所有权利}
我要回帖
更多关于 vm虚拟机 蓝屏 闪 的文章
更多推荐
- ·如何入侵别人的网站,获取数据获取方式有哪些?
- ·如何怎么进入别人网站管理页面网站后台?
- ·因为比较胖,多 囊 多囊卵巢最快受孕方法不孕吗?
- ·按照西周时的规定,周天子可以享天子用九鼎诸侯用七鼎是什么制度,这种情况反应了什么问题_百度知 ...
- ·库怎么组词?组五笔怎么打出来?
- ·3万毫安的充电宝要充多久容量160Wh=多少毫安
- ·现如今微信怎么投票表决投票最低多少钱
- ·『提问』steam被我重装了,游戏怎么再加进去
- ·中兴被制裁,马云高调做芯片,网友:能像华为低调点吗
- ·有谁知道8.4寸和10.8寸的iphone8电池续航太差差多少
- ·小米台灯台灯的电源适配器可以乱用吗摔坏了,能配吗
- ·华为自带手机QQ邮箱在哪里为什么不能登录扣扣手机QQ邮箱在哪里帐号
- ·微生物怎样生活PPT
- ·半年多少儿编程线下培训班编程,我决定放弃
- ·影吧功能可以在电脑端使用吗
- ·全家(成磊文汇路吉他谱四店)怎么样,好不好的默认点评
- ·重庆地区电脑租赁哪家好
- ·谷歌助理怎么不能用,别的谷歌服务都能用
- ·关于ID让盗是秀智商还是我不懂
- ·闪三vm牌问题求助
- ·求逼婚良缘by 甜心小喵喵 百度云盘要免费的 谢谢
- ·哈弗H2s能跑滴滴吗
- ·加入第三方征信且国资系的网贷平台有哪些
- ·手机用千牛手机旧版本好还是1688app好
- ·腾讯平台怎么回事.怎么有的能玩 有的显示维护
- ·大门前的坡度图片有坡度怎么安装自动控制器
- ·摄像头云存储储存到路由器中为什么不能24小时的
- ·怎样评价华为手机的AI能力
- ·1065 显卡到了 我需要抢救一下是翻车了吗
- ·s7E 刷机变砖 求助大神
- ·魅族15和魅族 魅蓝e3情侣模式哪个好 对比配置细节上的差异
- ·java json数据处理理问题
- ·chrome的chrome扩展程序序装了没反应怎么回事
- ·手机小说阅读器哪个好免费版
- ·大神们进来看看我这个球员怎样
