Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks 找不到MAGIC跳试了6个小时了
是一个饮管理系统,奇怪它为什么用armadillo做注册机制,为什么不自己写一个,程序刚刚安装完运行它就是已注册状态,但一个月后就会提示要注册,如果你要测试看要注册是什么样的话,可以直接把系统时间往后调一个月。
我把这程序传到网上了 点击下载 程序大小17M
PEID查壳为
PESniffer:Microsoft Visual C++ v6.0
PEIDScan: Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks
FI查壳为:Armadillo 4.00 {glue} SRT .text1
用ArmaFP查为:
======== 30-08-2008 10:13:04 ========
C:\XX餐饮管理系统\rmsMainApp.exe
★ 目标为Armadillo保护
Version 4.40 (Public Build)
保护系统级别为 (专业版)
◆所用到的保护模式有◆
标准保护 或 最小保护模式
【备份密钥设置】
固定的备份密钥
【程序压缩设置】
最好/最慢地压缩方式
【其它保护设置】
使用 eSellerate 版本密钥
英文版
<------- 30-08-2008 10:13:58 ------->
C:\XX餐饮管理系统\rmsMainApp.exe
!- Protected Armadillo
Version 4.40 (Public Build)
Protection system (Professional)
!- <Protection Options>
Standard protection or Minimum protection
!- <Backup Key Options>
Fixed Backup Keys
!- <Compression Options>
Best/Slowest Compression
!- <Other Options>
Use eSellerate Edition Keys
安装后有三个程序,要脱的程序是xx餐饮管理系统.exe
一、欺骗代码 OK!
二、避开IAT加密
它为什么就找不到MAGIC跳啊
我下He GetModuleHandleA断点,F9
堆栈
1.
0012FF38 0072A30B/CALL 到 GetModuleHandleA 来自 rmsMainA.0072A305
0012FF3C 00000000\pModule = NULL
2.
0012EE4C 5D175324/CALL 到 GetModuleHandleA 来自 5D17531E
0012EE50 5D175370\pModule = "kernel32.dll"
(假如第次就返回alt+9)
5D175324 85C0 test eax, eax ; kernel32.7C800000
5D175326 0F84 8C7B0200 je 5D19CEB8
5D17532C 68 4853175D push 5D175348 ; ASCII "InitializeCriticalSectionAndSpinCount"
5D175331 50 push eax
5D175332 FF15 B011175D call dword ptr ; kernel32.GetProcAddress
5D175338 A3 F83B1E5D mov dword ptr , eax
5D17533D 85C0 test eax, eax
5D17533F^ 75 A3 jnz short 5D1752E4
5D175341 E9 727B0200 jmp 5D19CEB8
5D175346 90 nop
5D175347 90 nop
5D175348 49 dec ecx
5D175349 6E outs dx, byte ptr es:
5D17534A 697469 61 6C697>imul esi, dword ptr , 6>
5D175352 43 inc ebx
5D175353 72 69 jb short 5D1753BE
5D175355 74 69 je short 5D1753C0
5D175357 6361 6C arpl word ptr , sp
5D17535A 53 push ebx
5D17535B 65:637469 6F arpl word ptr gs:, si
5D175360 6E outs dx, byte ptr es:
5D175361 41 inc ecx
5D175362 6E outs dx, byte ptr es:
5D175363 64:53 push ebx
5D175365 70 69 jo short 5D1753D0
(肯定不对)
3.
0012F658 AA83AB3F/CALL 到 GetModuleHandleA
0012F65C AA83F938\pModule = AA83F938 ???
4.
0012EF08 77F45CD0/CALL 到 GetModuleHandleA 来自 77F45CCA
0012EF0C 77F4501C\pModule = "KERNEL32.DLL"
(假如这里返回alt+9)
77F45CD0 8BF8 mov edi, eax ; kernel32.7C800000
77F45CD2 85FF test edi, edi
77F45CD4 0F84 8B000000 je 77F45D65
77F45CDA 56 push esi
77F45CDB 8B35 3814F477 mov esi, dword ptr ; kernel32.GetProcAddress
77F45CE1 68 C45DF477 push 77F45DC4 ; ASCII "CreateTimerQueue"
77F45CE6 57 push edi
77F45CE7 FFD6 call esi
77F45CE9 85C0 test eax, eax
77F45CEB 8945 FC mov dword ptr , eax
77F45CEE 74 74 je short 77F45D64
77F45CF0 68 B05DF477 push 77F45DB0 ; ASCII "DeleteTimerQueue"
77F45CF5 57 push edi
77F45CF6 FFD6 call esi
77F45CF8 85C0 test eax, eax
77F45CFA 8945 F8 mov dword ptr , eax
77F45CFD 74 65 je short 77F45D64
77F45CFF 68 985DF477 push 77F45D98 ; ASCII "CreateTimerQueueTimer"
77F45D04 57 push edi
77F45D05 FFD6 call esi
77F45D07 85C0 test eax, eax
77F45D09 8945 F4 mov dword ptr , eax
77F45D0C 74 56 je short 77F45D64
77F45D0E 53 push ebx
77F45D0F 68 805DF477 push 77F45D80 ; ASCII "ChangeTimerQueueTimer"
77F45D14 57 push edi
77F45D15 FFD6 call esi
(那也不对啊)
5.
0012EEEC 100079BD/CALL 到 GetModuleHandleA 来自 miscr3.100079B7
0012EEF0 1000D2A8\pModule = "KERNEL32.DLL"
......意思是和第五次一样,全部 来自 miscr3.1000**X 连续非程序领空的返回跳过
39.
0012F658 AA83AB3F/CALL 到 GetModuleHandleA
0012F65C AA83F314\pModule = AA83F314 ???
40.
0012F73C 00714EF3/CALL 到 GetModuleHandleA 来自 rmsMainA.00714EED
0012F740 00000000\pModule = NULL
41.
0012EBA4 AA83AB3F/CALL 到 GetModuleHandleA
0012EBA8 AA83F938\pModule = AA83F938 ???
42. 到这时的时候是经过一个时间较长的缓冲
001298DC 00E532BD/CALL 到 GetModuleHandleA 来自 00E532B7
001298E0 00E62C1C\pModule = "kernel32.dll"
001298E4 00E63E98ASCII "VirtualAlloc"
43.
001298DC 00E532DA/CALL 到 GetModuleHandleA 来自 00E532D4
001298E0 00E62C1C\pModule = "kernel32.dll"
001298E4 00E63E8CASCII "VirtualFree" 听说经过ASCII "VirtualAlloc"和ASCII "VirtualFree"下一个就是返回时机了
44.
00128C50 00E59393/CALL 到 GetModuleHandleA 来自 00E5938D
00128C54 00000000\pModule = NULL
(测试下看ALT+9返回了什么)
00E59393 68 007F0000 push 7F00
00E59398 53 push ebx
00E59399 8945 D8 mov dword ptr , eax
00E5939C FF15 A4D4E500 call dword ptr ; USER32.LoadCursorA
00E593A2 8945 E0 mov dword ptr , eax
00E593A5 8D45 C8 lea eax, dword ptr
00E593A8 50 push eax
00E593A9 C745 E4 1000000>mov dword ptr , 10
00E593B0 8975 EC mov dword ptr , esi
00E593B3 E8 BB160000 call 00E5AA73
00E593B8 33C9 xor ecx, ecx
00E593BA 66:3BC3 cmp ax, bx
00E593BD 0F95C1 setne cl
00E593C0 66:A3 2013E700mov word ptr , ax
00E593C6 8AC1 mov al, cl
00E593C8 5E pop esi
00E593C9 5B pop ebx
00E593CA C9 leave
00E593CB C3 retn
00E593CC 55 push ebp
00E593CD 8BEC mov ebp, esp
00E593CF 53 push ebx
00E593D0 8B5D 08 mov ebx, dword ptr
00E593D3 56 push esi
00E593D4 8B75 0C mov esi, dword ptr
00E593D7 57 push edi
00E593D8 8B7D 14 mov edi, dword ptr
00E593DB 83FE 46 cmp esi, 46
00E593DE 75 3C jnz short 00E5941C
(不对呀,那再接着往下看)
45.
00107C8C 74683BEE/CALL 到 GetModuleHandleA 来自 74683BE8
00107C90 00107C94\pModule = "C:\WINDOWS\system32\ntdll.dll"
46.
00107C94 74683BEE/CALL 到 GetModuleHandleA 来自 74683BE8
00107C98 00107C9C\pModule = "C:\WINDOWS\system32\imm32.dll"
47.
00107BE0 74683BEE/CALL 到 GetModuleHandleA 来自 74683BE8
00107BE4 00107BE8\pModule = "C:\WINDOWS\system32\KERNEL32"
48.
00108390 7365D4A4/CALL 到 GetModuleHandleA 来自 7365D49E 在这里返回终于看到了想看到的一个函数
00108394 00108398\pModule = "C:\WINDOWS\system32\ntdll.dll"
(看alt+9的现场)
7365D4A4 8B4D FC mov ecx, dword ptr
7365D4A7 E8 51C9FFFF call 73659DFD
7365D4AC C9 leave
7365D4AD C2 0400 retn 4
7365D4B0 CC int3
7365D4B1 CC int3
7365D4B2 CC int3
7365D4B3 CC int3
7365D4B4 CC int3
7365D4B5 8BFF mov edi, edi
7365D4B7 55 push ebp
7365D4B8 8BEC mov ebp, esp
7365D4BA 81EC 10010000 sub esp, 110
7365D4C0 A1 50806673 mov eax, dword ptr
7365D4C5 33C9 xor ecx, ecx
7365D4C7 8945 FC mov dword ptr , eax
7365D4CA 8B45 08 mov eax, dword ptr
7365D4CD 51 push ecx
7365D4CE 888D F0FEFFFF mov byte ptr , cl
7365D4D4 894D F8 mov dword ptr , ecx
7365D4D7 50 push eax
7365D4D8 8D8D F0FEFFFF lea ecx, dword ptr
7365D4DE E8 6CFDFFFF call 7365D24F
7365D4E3 85C0 test eax, eax
7365D4E5 74 0D je short 7365D4F4 (JE是个小跳,这不是MAGIC跳)
7365D4E7 8D85 F0FEFFFF lea eax, dword ptr
7365D4ED 50 push eax
7365D4EE FF15 C4116473 call dword ptr ; kernel32.LoadLibraryA (而且这个函数的位置总觉得出现得怪怪的)
7365D4F4 8B4D FC mov ecx, dword ptr
7365D4F7 E8 01C9FFFF call 73659DFD
49. 接着三个这样的,再按F9程序就飞了
00128C94 00E590F6/CALL 到 GetModuleHandleA 来自 00E590F0
00128C98 00000000\pModule = NULL Magic Jump 在 .LoadLibraryA函数下面 按道理是在下面,可在我这里的情况不同,我把它复制多一点,瞧瞧
7365D4A4 8B4D FC mov ecx, dword ptr
7365D4A7 E8 51C9FFFF call 73659DFD
7365D4AC C9 leave
7365D4AD C2 0400 retn 4
7365D4B0 CC int3
7365D4B1 CC int3
7365D4B2 CC int3
7365D4B3 CC int3
7365D4B4 CC int3
7365D4B5 8BFF mov edi, edi
7365D4B7 55 push ebp
7365D4B8 8BEC mov ebp, esp
7365D4BA 81EC 10010000 sub esp, 110
7365D4C0 A1 50806673 mov eax, dword ptr
7365D4C5 33C9 xor ecx, ecx
7365D4C7 8945 FC mov dword ptr , eax
7365D4CA 8B45 08 mov eax, dword ptr
7365D4CD 51 push ecx
7365D4CE 888D F0FEFFFF mov byte ptr , cl
7365D4D4 894D F8 mov dword ptr , ecx
7365D4D7 50 push eax
7365D4D8 8D8D F0FEFFFF lea ecx, dword ptr
7365D4DE E8 6CFDFFFF call 7365D24F
7365D4E3 85C0 test eax, eax
7365D4E5 74 0D je short 7365D4F4
7365D4E7 8D85 F0FEFFFF lea eax, dword ptr
7365D4ED 50 push eax
7365D4EE FF15 C4116473 call dword ptr ; kernel32.LoadLibraryA
7365D4F4 8B4D FC mov ecx, dword ptr
7365D4F7 E8 01C9FFFF call 73659DFD
7365D4FC C9 leave
7365D4FD C2 0400 retn 4
7365D500 CC int3
7365D501 CC int3
7365D502 CC int3
7365D503 CC int3
7365D504 CC int3
7365D505 8BFF mov edi, edi
7365D507 55 push ebp
7365D508 8BEC mov ebp, esp
7365D50A 81EC 14020000 sub esp, 214
7365D510 A1 50806673 mov eax, dword ptr
7365D515 33C9 xor ecx, ecx
7365D517 8945 FC mov dword ptr , eax
7365D51A 8B45 08 mov eax, dword ptr
7365D51D 51 push ecx
7365D51E 66:898D ECFDFFF>mov word ptr , cx
7365D525 894D F8 mov dword ptr , ecx
7365D528 50 push eax
7365D529 8D8D ECFDFFFF lea ecx, dword ptr
7365D52F E8 B3FDFFFF call 7365D2E7
7365D534 85C0 test eax, eax
7365D536 74 0D je short 7365D545
7365D538 8D85 ECFDFFFF lea eax, dword ptr
7365D53E 50 push eax
7365D53F FF15 C8116473 call dword ptr ; kernel32.GetModuleHandleW
7365D545 8B4D FC mov ecx, dword ptr
7365D548 E8 B0C8FFFF call 73659DFD
7365D54D C9 leave
7365D54E C2 0400 retn 4
7365D551 CC int3
7365D552 CC int3
7365D553 CC int3
7365D554 CC int3
7365D555 CC int3
7365D556 8BFF mov edi, edi
7365D558 55 push ebp
7365D559 8BEC mov ebp, esp
7365D55B 81EC 14020000 sub esp, 214
7365D561 A1 50806673 mov eax, dword ptr
7365D566 33C9 xor ecx, ecx
7365D568 8945 FC mov dword ptr , eax
7365D56B 8B45 08 mov eax, dword ptr
7365D56E 51 push ecx
7365D56F 66:898D ECFDFFF>mov word ptr , cx
7365D576 894D F8 mov dword ptr , ecx
7365D579 50 push eax
7365D57A 8D8D ECFDFFFF lea ecx, dword ptr
7365D580 E8 62FDFFFF call 7365D2E7
7365D585 85C0 test eax, eax
7365D587 74 0D je short 7365D596
7365D589 8D85 ECFDFFFF lea eax, dword ptr
7365D58F 50 push eax
7365D590 FF15 CC116473 call dword ptr ; kernel32.LoadLibraryW
7365D596 8B4D FC mov ecx, dword ptr
7365D599 E8 5FC8FFFF call 73659DFD
7365D59E C9 leave
7365D59F C2 0400 retn 4
7365D5A2 CC int3
7365D5A3 CC int3
7365D5A4 CC int3
7365D5A5 CC int3
7365D5A6 CC int3
7365D5A7 8BFF mov edi, edi
7365D5A9 56 push esi
7365D5AA 33F6 xor esi, esi
7365D5AC 3935 7C826673 cmp dword ptr , esi
7365D5B2 75 27 jnz short 7365D5DB
7365D5B4 68 B4226473 push 736422B4 ; ASCII "ntdll.dll"
7365D5B9 E8 A7FEFFFF call 7365D465
7365D5BE 3BC6 cmp eax, esi
7365D5C0 74 11 je short 7365D5D3
7365D5C2 68 98226473 push 73642298 ; ASCII "RtlDllShutdownInProgress"
7365D5C7 50 push eax
7365D5C8 FF15 44116473 call dword ptr ; kernel32.GetProcAddress
7365D5CE A3 7C826673 mov dword ptr , eax
7365D5D3 3935 7C826673 cmp dword ptr , esi
7365D5D9 74 0E je short 7365D5E9
7365D5DB FF15 7C826673 call dword ptr
7365D5E1 F6D8 neg al
7365D5E3 1BC0 sbb eax, eax
7365D5E5 F7D8 neg eax
7365D5E7 8BF0 mov esi, eax
7365D5E9 8BC6 mov eax, esi
7365D5EB 5E pop esi
7365D5EC C3 retn
7365D5ED CC int3
7365D5EE CC int3
7365D5EF CC int3
7365D5F0 CC int3
7365D5F1 CC int3
7365D5F2 8BFF mov edi, edi
7365D5F4 55 push ebp
7365D5F5 8BEC mov ebp, esp
7365D5F7 33C0 xor eax, eax
7365D5F9 3945 0C cmp dword ptr , eax
7365D5FC 75 07 jnz short 7365D605
7365D5FE B8 57000780 mov eax, 80070057
7365D603 EB 26 jmp short 7365D62B
7365D605 8B55 08 mov edx, dword ptr
7365D608 56 push esi
7365D609 8B75 10 mov esi, dword ptr
7365D60C 8A0E mov cl, byte ptr
7365D60E 84C9 test cl, cl
7365D610 74 09 je short 7365D61B
7365D612 880A mov byte ptr , cl
7365D614 42 inc edx
7365D615 46 inc esi
7365D616 FF4D 0C dec dword ptr
7365D619^ 75 F1 jnz short 7365D60C
7365D61B 837D 0C 00 cmp dword ptr , 0
7365D61F 5E pop esi
7365D620 75 06 jnz short 7365D628
7365D622 4A dec edx
7365D623 B8 7A000780 mov eax, 8007007A
7365D628 C602 00 mov byte ptr , 0
7365D62B 5D pop ebp
7365D62C C2 0C00 retn 0C
7365D62F CC int3
7365D630 CC int3
7365D631 CC int3
7365D632 CC int3
7365D633 CC int3
7365D634 8BFF mov edi, edi
7365D636 55 push ebp
7365D637 8BEC mov ebp, esp
7365D639 56 push esi
7365D63A 8B75 0C mov esi, dword ptr
7365D63D 33C0 xor eax, eax
7365D63F 3BF0 cmp esi, eax
7365D641 8BCE mov ecx, esi
7365D643 74 0F je short 7365D654
7365D645 8B55 08 mov edx, dword ptr
7365D648 3802 cmp byte ptr , al
7365D64A 74 04 je short 7365D650
7365D64C 42 inc edx
7365D64D 4E dec esi
7365D64E^ 75 F8 jnz short 7365D648
7365D650 3BF0 cmp esi, eax
7365D652 75 07 jnz short 7365D65B
7365D654 B8 57000780 mov eax, 80070057
7365D659 EB 0B jmp short 7365D666
7365D65B 8B55 10 mov edx, dword ptr
7365D65E 3BD0 cmp edx, eax
7365D660 74 04 je short 7365D666
7365D662 2BCE sub ecx, esi
7365D664 890A mov dword ptr , ecx
7365D666 5E pop esi
7365D667 5D pop ebp
7365D668 C2 0C00 retn 0C
7365D66B CC int3
7365D66C CC int3
7365D66D CC int3
7365D66E CC int3
7365D66F CC int3
7365D670 8BFF mov edi, edi
7365D672 55 push ebp
7365D673 8BEC mov ebp, esp
7365D675 817D 0C FFFFFF7>cmp dword ptr , 7FFFFFFF
7365D67C 76 09 jbe short 7365D687
7365D67E B8 57000780 mov eax, 80070057
7365D683 5D pop ebp
7365D684 C2 0C00 retn 0C
7365D687 5D pop ebp
7365D688^ E9 65FFFFFF jmp 7365D5F2
7365D68D CC int3
7365D68E CC int3
7365D68F CC int3
7365D690 CC int3
7365D691 CC int3
7365D692 8BFF mov edi, edi
7365D694 55 push ebp
7365D695 8BEC mov ebp, esp
7365D697 56 push esi
7365D698 8B75 0C mov esi, dword ptr
7365D69B 57 push edi
7365D69C 8B7D 08 mov edi, dword ptr
7365D69F 8D45 0C lea eax, dword ptr
7365D6A2 50 push eax
7365D6A3 56 push esi
7365D6A4 57 push edi
7365D6A5 E8 8AFFFFFF call 7365D634
7365D6AA 85C0 test eax, eax
7365D6AC 7C 11 jl short 7365D6BF
7365D6AE FF75 10 push dword ptr
7365D6B1 8B45 0C mov eax, dword ptr
7365D6B4 2BF0 sub esi, eax
7365D6B6 56 push esi
7365D6B7 03C7 add eax, edi
7365D6B9 50 push eax
7365D6BA E8 33FFFFFF call 7365D5F2
7365D6BF 5F pop edi
7365D6C0 5E pop esi
7365D6C1 5D pop ebp
7365D6C2 C2 0C00 retn 0C
7365D6C5 CC int3
7365D6C6 CC int3
7365D6C7 CC int3
7365D6C8 CC int3
7365D6C9 CC int3
7365D6CA 8BFF mov edi, edi
7365D6CC 55 push ebp
7365D6CD 8BEC mov ebp, esp
7365D6CF 53 push ebx
7365D6D0 8B5D 0C mov ebx, dword ptr
7365D6D3 56 push esi
7365D6D4 8BF1 mov esi, ecx
7365D6D6 8B4E 08 mov ecx, dword ptr
7365D6D9 57 push edi
7365D6DA 8D3C19 lea edi, dword ptr
7365D6DD 397E 10 cmp dword ptr , edi
7365D6E0 7D 3B jge short 7365D71D
7365D6E2 8BC1 mov eax, ecx
7365D6E4 99 cdq
7365D6E5 2BC2 sub eax, edx
7365D6E7 D1F8 sar eax, 1
7365D6E9 03C1 add eax, ecx
7365D6EB 3BF8 cmp edi, eax
7365D6ED 7F 02 jg short 7365D6F1
7365D6EF 8BF8 mov edi, eax
7365D6F1 8B46 04 mov eax, dword ptr
7365D6F4 85C0 test eax, eax
7365D6F6 75 0E jnz short 7365D706
7365D6F8 8B46 0C mov eax, dword ptr
7365D6FB 0FAFC7 imul eax, edi
7365D6FE 50 push eax
7365D6FF E8 22020000 call 7365D926
7365D704 EB 0D jmp short 7365D713
7365D706 8B4E 0C mov ecx, dword ptr
7365D709 0FAFCF imul ecx, edi
7365D70C 51 push ecx
7365D70D 50 push eax
7365D70E E8 60020000 call 7365D973
7365D713 85C0 test eax, eax
7365D715 74 3A je short 7365D751
7365D717 8946 04 mov dword ptr , eax
7365D71A 897E 10 mov dword ptr , edi
7365D71D 8B46 08 mov eax, dword ptr
7365D720 8B55 08 mov edx, dword ptr
7365D723 3BD0 cmp edx, eax
7365D725 7D 24 jge short 7365D74B
7365D727 8B4E 0C mov ecx, dword ptr
7365D72A 8B7E 04 mov edi, dword ptr
7365D72D 2BC2 sub eax, edx
7365D72F 0FAFC1 imul eax, ecx
7365D732 50 push eax
7365D733 8BC1 mov eax, ecx
7365D735 0FAFC2 imul eax, edx
7365D738 03D3 add edx, ebx
7365D73A 0FAFD1 imul edx, ecx
7365D73D 03C7 add eax, edi
7365D73F 50 push eax
7365D740 03D7 add edx, edi
7365D742 52 push edx
7365D743 E8 28C9FFFF call 7365A070 ; jmp 到 msvcrt.memmove
7365D748 83C4 0C add esp, 0C
7365D74B 015E 08 add dword ptr , ebx
7365D74E 33C0 xor eax, eax
7365D750 40 inc eax
7365D751 5F pop edi
7365D752 5E pop esi
7365D753 5B pop ebx
7365D754 5D pop ebp
7365D755 C2 0800 retn 8
7365D758 CC int3
7365D759 CC int3
7365D75A CC int3
7365D75B CC int3
7365D75C CC int3
7365D75D 8BFF mov edi, edi
7365D75F 55 push ebp
7365D760 8BEC mov ebp, esp
7365D762 53 push ebx
7365D763 8B5D 08 mov ebx, dword ptr
7365D766 56 push esi
7365D767 57 push edi
7365D768 8B7D 0C mov edi, dword ptr
7365D76B 8BF1 mov esi, ecx
7365D76D 8B46 08 mov eax, dword ptr
7365D770 8D0C3B lea ecx, dword ptr
7365D773 3BC8 cmp ecx, eax
7365D775 7D 2D jge short 7365D7A4
7365D777 8B4E 0C mov ecx, dword ptr
7365D77A 2BC3 sub eax, ebx
7365D77C 8B56 04 mov edx, dword ptr
7365D77F 2BC7 sub eax, edi
7365D781 0FAFC1 imul eax, ecx
7365D784 50 push eax
7365D785 8BC1 mov eax, ecx
7365D787 8945 0C mov dword ptr , eax
7365D78A 8D043B lea eax, dword ptr
7365D78D 8BD9 mov ebx, ecx
7365D78F 0FAF4D 08 imul ecx, dword ptr
7365D793 0FAFD8 imul ebx, eax
7365D796 03DA add ebx, edx
7365D798 03CA add ecx, edx
7365D79A 53 push ebx
7365D79B 51 push ecx
7365D79C E8 CFC8FFFF call 7365A070 ; jmp 到 msvcrt.memmove
7365D7A1 83C4 0C add esp, 0C
7365D7A4 8B46 10 mov eax, dword ptr
7365D7A7 297E 08 sub dword ptr , edi
7365D7AA 8B4E 08 mov ecx, dword ptr
7365D7AD 99 cdq
7365D7AE 2BC2 sub eax, edx
7365D7B0 8BF8 mov edi, eax
7365D7B2 D1FF sar edi, 1
7365D7B4 3BF9 cmp edi, ecx
7365D7B6 7E 19 jle short 7365D7D1
都不可能是magic跳 还得好好看看通用方法啊 我估计是magicjump 没处理好
页:
[1]