请问这样的代码是什么？VM？-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 请问这样的代码是什么？VM？ 0.00雪花

发表于: 2013-10-6 21:48 10349

[旧帖] 请问这样的代码是什么？VM？ 0.00雪花

yishenbiao 活跃值

2013-10-6 21:48

10349

00F84078 50             PUSH EAX
00F84079 68 82319226    PUSH 26923182
00F8407E 58             POP EAX
00F8407F 0D A84BED4C    OR EAX,4CED4BA8
00F84084 2D 670C3250    SUB EAX,50320C67
00F84089 05 174DE024    ADD EAX,24E04D17
00F8408E 40             INC EAX
00F8408F 57             PUSH EDI
00F84090 BF FFFFFFFF    MOV EDI,-1
00F84095 01F8          ADD EAX,EDI
00F84097 5F             POP EDI
00F84098 57             PUSH EDI
00F84099 BF EA46C569    MOV EDI,69C546EA
00F8409E 4F             DEC EDI
00F8409F F7D7          NOT EDI
00F840A1 81F7 B0662757 XOR EDI,572766B0
00F840A7 81EC 04000000 SUB ESP,4
00F840AD 891424       MOV DWORD PTR SS:[ESP],EDX
00F840B0 BA 7F3D6028    MOV EDX,28603D7F
00F840B5 31D7          XOR EDI,EDX
00F840B7 5A             POP EDX
00F840B8 F7DF          NEG EDI
00F840BA 81F7 A628D74B XOR EDI,4BD728A6
00F840C0 21F8          AND EAX,EDI
00F840C2 8B3C24       MOV EDI,DWORD PTR SS:[ESP]
00F840C5 81C4 04000000 ADD ESP,4
00F840CB 35 04340541    XOR EAX,41053404
00F840D0 01C7          ADD EDI,EAX
00F840D2 58             POP EAX
00F840D3 81EF 04000000 SUB EDI,4
00F840D9 873C24       XCHG DWORD PTR SS:[ESP],EDI
00F840DC 5C             POP ESP
00F840DD 890C24       MOV DWORD PTR SS:[ESP],ECX
00F840E0 890424       MOV DWORD PTR SS:[ESP],EAX
00F840E3 55             PUSH EBP
00F840E4 89E5          MOV EBP,ESP
00F840E6 81C5 04000000 ADD EBP,4
00F840EC 83ED 04       SUB EBP,4
00F840EF 872C24       XCHG DWORD PTR SS:[ESP],EBP
00F840F2 5C             POP ESP
00F840F3 890C24       MOV DWORD PTR SS:[ESP],ECX
00F840F6 89E1          MOV ECX,ESP
00F840F8 56             PUSH ESI
00F840F9 BE 04000000    MOV ESI,4
00F840FE 01F1          ADD ECX,ESI
00F84100 5E             POP ESI
00F84101 52             PUSH EDX
00F84102 68 C758634B    PUSH 4B6358C7
00F84107 8B1424       MOV EDX,DWORD PTR SS:[ESP]
00F8410A 83C4 04       ADD ESP,4
00F8410D 81F2 C358634B XOR EDX,4B6358C3
00F84113 81E9 C5006E61 SUB ECX,616E00C5
00F84119 29D1          SUB ECX,EDX
00F8411B 81C1 C5006E61 ADD ECX,616E00C5
00F84121 FF3424       PUSH DWORD PTR SS:[ESP]
00F84124 8B1424       MOV EDX,DWORD PTR SS:[ESP]
00F84127 81C4 04000000 ADD ESP,4
00F8412D 55             PUSH EBP
00F8412E 89E5          MOV EBP,ESP
00F84130 81C5 04000000 ADD EBP,4
00F84136 57             PUSH EDI
00F84137 BF 04000000    MOV EDI,4
00F8413C 01FD          ADD EBP,EDI
00F8413E 5F             POP EDI
00F8413F 872C24       XCHG DWORD PTR SS:[ESP],EBP
00F84142 5C             POP ESP
00F84143 330C24       XOR ECX,DWORD PTR SS:[ESP]
00F84146 310C24       XOR DWORD PTR SS:[ESP],ECX
00F84149 330C24       XOR ECX,DWORD PTR SS:[ESP]
00F8414C 8B2424       MOV ESP,DWORD PTR SS:[ESP]
00F8414F 890C24       MOV DWORD PTR SS:[ESP],ECX
00F84152 68 BD530000    PUSH 53BD
00F84157 891424       MOV DWORD PTR SS:[ESP],EDX
00F8415A 53             PUSH EBX
00F8415B 81EC 04000000 SUB ESP,4
00F84161 892424       MOV DWORD PTR SS:[ESP],ESP
00F84164 830424 04    ADD DWORD PTR SS:[ESP],4
00F84168 5B             POP EBX
00F84169 50             PUSH EAX
00F8416A 53             PUSH EBX
00F8416B BB 9D6B733C    MOV EBX,3C736B9D
00F84170 81EB 8C1000F2 SUB EBX,F200108C
00F84176 57             PUSH EDI
00F84177 BF 01000000    MOV EDI,1
00F8417C 29FB          SUB EBX,EDI
00F8417E 5F             POP EDI
00F8417F 81EB FFFFFFFF SUB EBX,-1
00F84185 50             PUSH EAX
00F84186 B8 FC288753    MOV EAX,538728FC
00F8418B 05 A15C9B31    ADD EAX,319B5CA1
00F84190 25 330D5970    AND EAX,70590D33
00F84195 2D F906EA4A    SUB EAX,4AEA06F9
00F8419A 48             DEC EAX
00F8419B 0D 7909B403    OR EAX,3B40979
00F841A0 2D 24A2D864    SUB EAX,64D8A224
00F841A5 05 FECB21F9    ADD EAX,F921CBFE
00F841AA 29C3          SUB EBX,EAX
00F841AC 58             POP EAX
00F841AD 51             PUSH ECX
00F841AE B9 5D24BB7F    MOV ECX,7FBB245D
00F841B3 F7D1          NOT ECX
00F841B5 C1E9 03       SHR ECX,3
00F841B8 81C1 17A1DD59 ADD ECX,59DDA117
00F841BE 09CB          OR EBX,ECX
00F841C0 59             POP ECX
00F841C1 81EB 15659423 SUB EBX,23946515
00F841C7 81EB A2D861DC SUB EBX,DC61D8A2
00F841CD 53             PUSH EBX
00F841CE 812C24 2D349F4C SUB DWORD PTR SS:[ESP],4C9F342D
00F841D5 58             POP EAX
00F841D6 05 2D349F4C    ADD EAX,4C9F342D
00F841DB 5B             POP EBX
00F841DC 01C3          ADD EBX,EAX
00F841DE 58             POP EAX
00F841DF 81EB 04000000 SUB EBX,4
00F841E5 53             PUSH EBX
00F841E6 FF7424 04    PUSH DWORD PTR SS:[ESP+4]
00F841EA 8B1C24       MOV EBX,DWORD PTR SS:[ESP]
00F841ED 81C4 04000000 ADD ESP,4
00F841F3 8F0424       POP DWORD PTR SS:[ESP]
00F841F6 5C             POP ESP
00F841F7 891C24       MOV DWORD PTR SS:[ESP],EBX
00F841FA 68 9B080000    PUSH 89B
00F841FF 81EC 04000000 SUB ESP,4
00F84205 891424       MOV DWORD PTR SS:[ESP],EDX
00F84208 68 FD160000    PUSH 16FD
00F8420D 892424       MOV DWORD PTR SS:[ESP],ESP
00F84210 830424 04    ADD DWORD PTR SS:[ESP],4
00F84214 8F0424       POP DWORD PTR SS:[ESP]
00F84217 51             PUSH ECX
00F84218 89E1          MOV ECX,ESP
00F8421A 81C1 04000000 ADD ECX,4
00F84220 83E9 04       SUB ECX,4
00F84223 870C24       XCHG DWORD PTR SS:[ESP],ECX
00F84226 5C             POP ESP
00F84227 890C24       MOV DWORD PTR SS:[ESP],ECX
00F8422A B9 04000000    MOV ECX,4
00F8422F 014C24 04    ADD DWORD PTR SS:[ESP+4],ECX
00F84233 59             POP ECX
00F84234 8F0424       POP DWORD PTR SS:[ESP]
00F84237 51             PUSH ECX
00F84238 891C24       MOV DWORD PTR SS:[ESP],EBX
00F8423B BB 04000000    MOV EBX,4
00F84240 015C24 04    ADD DWORD PTR SS:[ESP+4],EBX
00F84244 8B1C24       MOV EBX,DWORD PTR SS:[ESP]
00F84247 52             PUSH EDX
00F84248 892C24       MOV DWORD PTR SS:[ESP],EBP
00F8424B 891424       MOV DWORD PTR SS:[ESP],EDX
00F8424E 54             PUSH ESP
00F8424F 5A             POP EDX
00F84250 81C2 04000000 ADD EDX,4
00F84256 83C2 04       ADD EDX,4
00F84259 871424       XCHG DWORD PTR SS:[ESP],EDX
00F8425C 5C             POP ESP
00F8425D 68 B56F0000    PUSH 6FB5
00F84262 892C24       MOV DWORD PTR SS:[ESP],EBP
00F84265 57             PUSH EDI
00F84266 89E7          MOV EDI,ESP
00F84268 81C7 04000000 ADD EDI,4
00F8426E 81EC 04000000 SUB ESP,4
00F84274 892C24       MOV DWORD PTR SS:[ESP],EBP
00F84277 54             PUSH ESP
00F84278 5D             POP EBP
00F84279 68 646B0000    PUSH 6B64
00F8427E 893C24       MOV DWORD PTR SS:[ESP],EDI
00F84281 BF 8F2DC344    MOV EDI,44C32D8F
00F84286 81EF 7F3C206E SUB EDI,6E203C7F
00F8428C 53             PUSH EBX
00F8428D BB 547A1A49    MOV EBX,491A7A54
00F84292 81C3 0A679154 ADD EBX,5491670A
00F84298 81C3 67007F7D ADD EBX,7D7F0067
00F8429E 81E3 0A2FDA17 AND EBX,17DA2F0A
00F842A4 81C3 14D098C3 ADD EBX,C398D014
00F842AA 31DF          XOR EDI,EBX
00F842AC 5B             POP EBX
00F842AD 01FD          ADD EBP,EDI
00F842AF 5F             POP EDI
00F842B0 83ED 04       SUB EBP,4
00F842B3 332C24       XOR EBP,DWORD PTR SS:[ESP]
00F842B6 312C24       XOR DWORD PTR SS:[ESP],EBP
00F842B9 332C24       XOR EBP,DWORD PTR SS:[ESP]
00F842BC 5C             POP ESP
00F842BD 893424       MOV DWORD PTR SS:[ESP],ESI
00F842C0 51             PUSH ECX
00F842C1 68 1679D40D    PUSH 0DD47916
00F842C6 59             POP ECX
00F842C7 D1E1          SHL ECX,1
00F842C9 81E1 6638E86B AND ECX,6BE83866
00F842CF 55             PUSH EBP
00F842D0 BD E5639602    MOV EBP,29663E5
00F842D5 81ED 7C67F567 SUB EBP,67F5677C
00F842DB 81ED 16205857 SUB EBP,57582016
00F842E1 F7D5          NOT EBP
00F842E3 D1ED          SHR EBP,1
00F842E5 81C5 2A6EA4A1 ADD EBP,A1A46E2A
00F842EB 29CD          SUB EBP,ECX
00F842ED 89E9          MOV ECX,EBP
00F842EF 5D             POP EBP
00F842F0 81E9 D8CF57F4 SUB ECX,F457CFD8
00F842F6 89CE          MOV ESI,ECX
00F842F8 59             POP ECX
00F842F9 29F7          SUB EDI,ESI
00F842FB 5E             POP ESI
00F842FC 57             PUSH EDI
00F842FD FF7424 04    PUSH DWORD PTR SS:[ESP+4]
00F84301 5F             POP EDI
00F84302 8F0424       POP DWORD PTR SS:[ESP]
00F84305 8B2424       MOV ESP,DWORD PTR SS:[ESP]
00F84308 893424       MOV DWORD PTR SS:[ESP],ESI
00F8430B 68 4E050000    PUSH 54E
00F84310 893C24       MOV DWORD PTR SS:[ESP],EDI
00F84313 FC             CLD
00F84314 56             PUSH ESI
00F84315 891C24       MOV DWORD PTR SS:[ESP],EBX
00F84318 890424       MOV DWORD PTR SS:[ESP],EAX
00F8431B FF3424       PUSH DWORD PTR SS:[ESP]
00F8431E FF3424       PUSH DWORD PTR SS:[ESP]
00F84321 58             POP EAX
00F84322 53             PUSH EBX
00F84323 89E3          MOV EBX,ESP
00F84325 57             PUSH EDI
00F84326 52             PUSH EDX
00F84327 BA 77446F34    MOV EDX,346F4477
00F8432C 81EA CA408174 SUB EDX,748140CA
00F84332 F7D2          NOT EDX
00F84334 81E2 395AE50E AND EDX,0EE55A39
00F8433A 4A             DEC EDX
00F8433B 81CA 53224F4F OR EDX,4F4F2253
00F84341 81EA 5B7A4F4F SUB EDX,4F4F7A5B
00F84347 89D7          MOV EDI,EDX
00F84349 5A             POP EDX
00F8434A 01FB          ADD EBX,EDI
00F8434C 5F             POP EDI
00F8434D 51             PUSH ECX
00F8434E B9 04000000    MOV ECX,4
00F84353 01CB          ADD EBX,ECX
00F84355 59             POP ECX
00F84356 871C24       XCHG DWORD PTR SS:[ESP],EBX
00F84359 5C             POP ESP
00F8435A 68 86100000    PUSH 1086
00F8435F 891424       MOV DWORD PTR SS:[ESP],EDX
00F84362 890C24       MOV DWORD PTR SS:[ESP],ECX
00F84365 54             PUSH ESP
00F84366 59             POP ECX
00F84367 52             PUSH EDX
00F84368 BA 832A645E    MOV EDX,5E642A83
00F8436D F7DA          NEG EDX
00F8436F F7D2          NOT EDX
00F84371 81F2 D930AB1A XOR EDX,1AAB30D9
00F84377 81E2 93781D74 AND EDX,741D7893
00F8437D 81C2 F1E7F2BB ADD EDX,BBF2E7F1
00F84383 01D1          ADD ECX,EDX
00F84385 5A             POP EDX
00F84386 81C1 04000000 ADD ECX,4
00F8438C 870C24       XCHG DWORD PTR SS:[ESP],ECX
00F8438F 5C             POP ESP

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

收藏・1

免费・0

支持

最新回复 (13)
CJSoldier 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 59 粉丝 0 关注私信	CJSoldier 2 楼太长了，只看了开头的一段俺的堆栈就溢出了。。。 EAX（26923182）\| 4CED4BA8 - 50320C67 + 24E04D17 + 1 - 1 完全不知道是什么东西。建议提供更详细的信息，比如这段code从哪儿来的，为什么要分析这段代码等。 2013-10-6 22:02 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 3 楼这不是VM 2013-10-6 22:04 0
yishenbiao 雪币： 15 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 11 回帖 27 粉丝 0 关注私信	yishenbiao 4 楼你好。这是我在跟踪一段代码，我完整一下。 004D699E 81EC 10040000 SUB ESP,410 004D69A4 A1 94879D00 MOV EAX,DWORD PTR DS:[9D8794] 004D69A9 33C4 XOR EAX,ESP 004D69AB 898424 0C040000 MOV DWORD PTR SS:[ESP+40C],EAX 004D69B2 53 PUSH EBX 004D69B3 55 PUSH EBP 004D69B4 56 PUSH ESI 004D69B5 57 PUSH EDI 004D69B6 A1 94879D00 MOV EAX,DWORD PTR DS:[9D8794] 004D69BB 33C4 XOR EAX,ESP 004D69BD 50 PUSH EAX 004D69BE 8D8424 24040000 LEA EAX,DWORD PTR SS:[ESP+424] 004D69C5 64:A3 00000000 MOV DWORD PTR FS:[0],EAX 004D69CB 8BBC24 34040000 MOV EDI,DWORD PTR SS:[ESP+434] 004D69D2 - E9 A6BBB800 JMP Client.0106257D’这地方JMP 了。 004D69D7 ED IN EAX,DX 004D69D8 00A7 AE335030 ADD BYTE PTR DS:[EDI+305033AE],AH 004D69DE 8427 TEST BYTE PTR DS:[EDI],AH 004D69E0 F74491 E1 F8B12>TEST DWORD PTR DS:[ECX+EDX*4-1F],662BB1F> 004D69E8 6B1E C2 IMUL EBX,DWORD PTR DS:[ESI],-3E 004D69EB 40 INC EAX 004D69EC 27 DAA 004D69ED 92 XCHG EAX,EDX 0106257D 68 BA21A509 PUSH 9A521BA 01062582 ^ E9 D91AF2FF JMP Client.00F84060 ’这又JMP 了 01062587 8F ??? ; 未知命令 01062588 FC CLD 01062589 D0A5 69C0C893 SHL BYTE PTR SS:[EBP+93C8C069],1 0106258F F74421 3A EECBB>TEST DWORD PTR DS:[ECX+3A],69B8CBEE 然后就到这了。我发现很多游戏的代码都这样了啊。不知道这种是不是VM啊。不过看起来好多花指令啊，后面还有好多。。。。不知道这种代码是什么东西啊。 00F84060 9C PUSHFD 00F84061 57 PUSH EDI 00F84062 89E7 MOV EDI,ESP 00F84064 81C7 04000000 ADD EDI,4’花指令 00F8406A 83EF 04 SUB EDI,4’花指令 00F8406D 873C24 XCHG DWORD PTR SS:[ESP],EDI’花指令 00F84070 8B2424 MOV ESP,DWORD PTR SS:[ESP]’花指令 00F84073 893C24 MOV DWORD PTR SS:[ESP],EDI’花指令 00F84076 89E7 MOV EDI,ESP 00F84078 50 PUSH EAX 00F84079 68 82319226 PUSH 26923182 00F8407E 58 POP EAX 00F8407F 0D A84BED4C OR EAX,4CED4BA8 00F84084 2D 670C3250 SUB EAX,50320C67’花指令 00F84089 05 174DE024 ADD EAX,24E04D17’花指令 00F8408E 40 INC EAX’花指令 00F8408F 57 PUSH EDI 00F84090 BF FFFFFFFF MOV EDI,-1 00F84095 01F8 ADD EAX,EDI 00F84097 5F POP EDI 00F84098 57 PUSH EDI 00F84099 BF EA46C569 MOV EDI,69C546EA 00F8409E 4F DEC EDI 00F8409F F7D7 NOT EDI 00F840A1 81F7 B0662757 XOR EDI,572766B0 00F840A7 81EC 04000000 SUB ESP,4 00F840AD 891424 MOV DWORD PTR SS:[ESP],EDX 00F840B0 BA 7F3D6028 MOV EDX,28603D7F 00F840B5 31D7 XOR EDI,EDX 00F840B7 5A POP EDX 00F840B8 F7DF NEG EDI 00F840BA 81F7 A628D74B XOR EDI,4BD728A6 00F840C0 21F8 AND EAX,EDI 00F840C2 8B3C24 MOV EDI,DWORD PTR SS:[ESP] 00F840C5 81C4 04000000 ADD ESP,4 00F840CB 35 04340541 XOR EAX,41053404 00F840D0 01C7 ADD EDI,EAX 00F840D2 58 POP EAX 00F840D3 81EF 04000000 SUB EDI,4 00F840D9 873C24 XCHG DWORD PTR SS:[ESP],EDI 00F840DC 5C POP ESP 00F840DD 890C24 MOV DWORD PTR SS:[ESP],ECX 00F840E0 890424 MOV DWORD PTR SS:[ESP],EAX 00F840E3 55 PUSH EBP 00F840E4 89E5 MOV EBP,ESP 00F840E6 81C5 04000000 ADD EBP,4 00F840EC 83ED 04 SUB EBP,4 00F840EF 872C24 XCHG DWORD PTR SS:[ESP],EBP 00F840F2 5C POP ESP 00F840F3 890C24 MOV DWORD PTR SS:[ESP],ECX 00F840F6 89E1 MOV ECX,ESP 00F840F8 56 PUSH ESI 00F840F9 BE 04000000 MOV ESI,4 00F840FE 01F1 ADD ECX,ESI 00F84100 5E POP ESI 00F84101 52 PUSH EDX 00F84102 68 C758634B PUSH 4B6358C7 00F84107 8B1424 MOV EDX,DWORD PTR SS:[ESP] 00F8410A 83C4 04 ADD ESP,4 00F8410D 81F2 C358634B XOR EDX,4B6358C3 00F84113 81E9 C5006E61 SUB ECX,616E00C5 00F84119 29D1 SUB ECX,EDX 00F8411B 81C1 C5006E61 ADD ECX,616E00C5 00F84121 FF3424 PUSH DWORD PTR SS:[ESP] 00F84124 8B1424 MOV EDX,DWORD PTR SS:[ESP] 00F84127 81C4 04000000 ADD ESP,4 00F8412D 55 PUSH EBP 00F8412E 89E5 MOV EBP,ESP 00F84130 81C5 04000000 ADD EBP,4 00F84136 57 PUSH EDI 00F84137 BF 04000000 MOV EDI,4 00F8413C 01FD ADD EBP,EDI 00F8413E 5F POP EDI 00F8413F 872C24 XCHG DWORD PTR SS:[ESP],EBP 00F84142 5C POP ESP 00F84143 330C24 XOR ECX,DWORD PTR SS:[ESP] 00F84146 310C24 XOR DWORD PTR SS:[ESP],ECX 00F84149 330C24 XOR ECX,DWORD PTR SS:[ESP] 00F8414C 8B2424 MOV ESP,DWORD PTR SS:[ESP] 00F8414F 890C24 MOV DWORD PTR SS:[ESP],ECX 00F84152 68 BD530000 PUSH 53BD 00F84157 891424 MOV DWORD PTR SS:[ESP],EDX 00F8415A 53 PUSH EBX 00F8415B 81EC 04000000 SUB ESP,4 00F84161 892424 MOV DWORD PTR SS:[ESP],ESP 00F84164 830424 04 ADD DWORD PTR SS:[ESP],4 00F84168 5B POP EBX 00F84169 50 PUSH EAX 00F8416A 53 PUSH EBX 00F8416B BB 9D6B733C MOV EBX,3C736B9D 00F84170 81EB 8C1000F2 SUB EBX,F200108C 00F84176 57 PUSH EDI 00F84177 BF 01000000 MOV EDI,1 00F8417C 29FB SUB EBX,EDI 00F8417E 5F POP EDI 00F8417F 81EB FFFFFFFF SUB EBX,-1 00F84185 50 PUSH EAX 00F84186 B8 FC288753 MOV EAX,538728FC 00F8418B 05 A15C9B31 ADD EAX,319B5CA1 00F84190 25 330D5970 AND EAX,70590D33 00F84195 2D F906EA4A SUB EAX,4AEA06F9 00F8419A 48 DEC EAX 00F8419B 0D 7909B403 OR EAX,3B40979 00F841A0 2D 24A2D864 SUB EAX,64D8A224 00F841A5 05 FECB21F9 ADD EAX,F921CBFE 00F841AA 29C3 SUB EBX,EAX 00F841AC 58 POP EAX 00F841AD 51 PUSH ECX 00F841AE B9 5D24BB7F MOV ECX,7FBB245D 00F841B3 F7D1 NOT ECX 00F841B5 C1E9 03 SHR ECX,3 00F841B8 81C1 17A1DD59 ADD ECX,59DDA117 00F841BE 09CB OR EBX,ECX 00F841C0 59 POP ECX 00F841C1 81EB 15659423 SUB EBX,23946515 00F841C7 81EB A2D861DC SUB EBX,DC61D8A2 00F841CD 53 PUSH EBX 00F841CE 812C24 2D349F4C SUB DWORD PTR SS:[ESP],4C9F342D 00F841D5 58 POP EAX 00F841D6 05 2D349F4C ADD EAX,4C9F342D 00F841DB 5B POP EBX 00F841DC 01C3 ADD EBX,EAX 00F841DE 58 POP EAX 00F841DF 81EB 04000000 SUB EBX,4 2013-10-6 22:18 0
网络游侠雪币： 0 活跃值： (984) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 972 粉丝 15 关注私信	网络游侠 5 楼这是美服12天吧，花中夹带着算法！ 2013-10-7 08:28 0
lovecnet 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	lovecnet 6 楼完全看不懂，但是可以肯定，这是汇编 2013-10-7 09:27 0
老伙计雪币： 805 活跃值： (2698) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 608 粉丝 11 关注私信	老伙计 7 楼楼主的概念有误，你标出的代码基本上都不是花指令，所谓花指令一定是通过跳转指令和垃圾指令配合达到扰乱反汇编代码的效果。而在花指令体系中，垃圾指令一定是不会被执行的指令。 2013-10-7 12:10 0
yishenbiao 雪币： 15 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 11 回帖 27 粉丝 0 关注私信	yishenbiao 8 楼多谢前辈指正。相如这种代码，用什么方法分析啊？就是慢慢跟？很长的。后面还有很多JMP。 2013-10-7 12:20 0
老伙计雪币： 805 活跃值： (2698) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 608 粉丝 11 关注私信	老伙计 9 楼楼主根据什么判断是VM，假如真的是VM，那么会有很强的反调试，不会让你如此轻松跟踪。再说，如果是虚拟机引擎，应该通过switch...case判断操作指令，然后执行相应的指令块。顺便给你泼点冷水，玩破解一定是独行侠，做别人没有做过的，想别人没有想到的，感觉你没有很强烈的内在动力，没有足够的信心和勇气，也缺少起码的经验，至少目前还不适合做破解。 2013-10-7 12:33 0
yayayxkf 雪币： 256 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 86 粉丝 0 关注私信	yayayxkf 10 楼把一小段代码进行变形乱序处理之后就是你贴出来这种代码了,这个不是VM 2013-10-8 00:06 0
SdKfz 雪币： 1 活跃值： (1174) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 2 关注私信	SdKfz 11 楼象TMD/CV的VM引擎 2013-10-8 18:24 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 12 楼变异非vm 2013-10-8 18:33 0
Riverhac 雪币： 232 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 65 粉丝 0 关注私信	Riverhac 13 楼不是ＶＭ 2013-10-8 19:07 0
萌克力雪币： 433 活跃值： (2130) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 613 粉丝 33 关注私信	萌克力 14 楼不是vm vm是不停不停的jmp 2013-10-8 19:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

yishenbiao

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (13)
CJSoldier 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 59 粉丝 0 关注私信	CJSoldier 2 楼太长了，只看了开头的一段俺的堆栈就溢出了。。。 EAX（26923182）\| 4CED4BA8 - 50320C67 + 24E04D17 + 1 - 1 完全不知道是什么东西。建议提供更详细的信息，比如这段code从哪儿来的，为什么要分析这段代码等。 2013-10-6 22:02 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 3 楼这不是VM 2013-10-6 22:04 0
yishenbiao 雪币： 15 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 11 回帖 27 粉丝 0 关注私信	yishenbiao 4 楼你好。这是我在跟踪一段代码，我完整一下。 004D699E 81EC 10040000 SUB ESP,410 004D69A4 A1 94879D00 MOV EAX,DWORD PTR DS:[9D8794] 004D69A9 33C4 XOR EAX,ESP 004D69AB 898424 0C040000 MOV DWORD PTR SS:[ESP+40C],EAX 004D69B2 53 PUSH EBX 004D69B3 55 PUSH EBP 004D69B4 56 PUSH ESI 004D69B5 57 PUSH EDI 004D69B6 A1 94879D00 MOV EAX,DWORD PTR DS:[9D8794] 004D69BB 33C4 XOR EAX,ESP 004D69BD 50 PUSH EAX 004D69BE 8D8424 24040000 LEA EAX,DWORD PTR SS:[ESP+424] 004D69C5 64:A3 00000000 MOV DWORD PTR FS:[0],EAX 004D69CB 8BBC24 34040000 MOV EDI,DWORD PTR SS:[ESP+434] 004D69D2 - E9 A6BBB800 JMP Client.0106257D’这地方JMP 了。 004D69D7 ED IN EAX,DX 004D69D8 00A7 AE335030 ADD BYTE PTR DS:[EDI+305033AE],AH 004D69DE 8427 TEST BYTE PTR DS:[EDI],AH 004D69E0 F74491 E1 F8B12>TEST DWORD PTR DS:[ECX+EDX*4-1F],662BB1F> 004D69E8 6B1E C2 IMUL EBX,DWORD PTR DS:[ESI],-3E 004D69EB 40 INC EAX 004D69EC 27 DAA 004D69ED 92 XCHG EAX,EDX 0106257D 68 BA21A509 PUSH 9A521BA 01062582 ^ E9 D91AF2FF JMP Client.00F84060 ’这又JMP 了 01062587 8F ??? ; 未知命令 01062588 FC CLD 01062589 D0A5 69C0C893 SHL BYTE PTR SS:[EBP+93C8C069],1 0106258F F74421 3A EECBB>TEST DWORD PTR DS:[ECX+3A],69B8CBEE 然后就到这了。我发现很多游戏的代码都这样了啊。不知道这种是不是VM啊。不过看起来好多花指令啊，后面还有好多。。。。不知道这种代码是什么东西啊。 00F84060 9C PUSHFD 00F84061 57 PUSH EDI 00F84062 89E7 MOV EDI,ESP 00F84064 81C7 04000000 ADD EDI,4’花指令 00F8406A 83EF 04 SUB EDI,4’花指令 00F8406D 873C24 XCHG DWORD PTR SS:[ESP],EDI’花指令 00F84070 8B2424 MOV ESP,DWORD PTR SS:[ESP]’花指令 00F84073 893C24 MOV DWORD PTR SS:[ESP],EDI’花指令 00F84076 89E7 MOV EDI,ESP 00F84078 50 PUSH EAX 00F84079 68 82319226 PUSH 26923182 00F8407E 58 POP EAX 00F8407F 0D A84BED4C OR EAX,4CED4BA8 00F84084 2D 670C3250 SUB EAX,50320C67’花指令 00F84089 05 174DE024 ADD EAX,24E04D17’花指令 00F8408E 40 INC EAX’花指令 00F8408F 57 PUSH EDI 00F84090 BF FFFFFFFF MOV EDI,-1 00F84095 01F8 ADD EAX,EDI 00F84097 5F POP EDI 00F84098 57 PUSH EDI 00F84099 BF EA46C569 MOV EDI,69C546EA 00F8409E 4F DEC EDI 00F8409F F7D7 NOT EDI 00F840A1 81F7 B0662757 XOR EDI,572766B0 00F840A7 81EC 04000000 SUB ESP,4 00F840AD 891424 MOV DWORD PTR SS:[ESP],EDX 00F840B0 BA 7F3D6028 MOV EDX,28603D7F 00F840B5 31D7 XOR EDI,EDX 00F840B7 5A POP EDX 00F840B8 F7DF NEG EDI 00F840BA 81F7 A628D74B XOR EDI,4BD728A6 00F840C0 21F8 AND EAX,EDI 00F840C2 8B3C24 MOV EDI,DWORD PTR SS:[ESP] 00F840C5 81C4 04000000 ADD ESP,4 00F840CB 35 04340541 XOR EAX,41053404 00F840D0 01C7 ADD EDI,EAX 00F840D2 58 POP EAX 00F840D3 81EF 04000000 SUB EDI,4 00F840D9 873C24 XCHG DWORD PTR SS:[ESP],EDI 00F840DC 5C POP ESP 00F840DD 890C24 MOV DWORD PTR SS:[ESP],ECX 00F840E0 890424 MOV DWORD PTR SS:[ESP],EAX 00F840E3 55 PUSH EBP 00F840E4 89E5 MOV EBP,ESP 00F840E6 81C5 04000000 ADD EBP,4 00F840EC 83ED 04 SUB EBP,4 00F840EF 872C24 XCHG DWORD PTR SS:[ESP],EBP 00F840F2 5C POP ESP 00F840F3 890C24 MOV DWORD PTR SS:[ESP],ECX 00F840F6 89E1 MOV ECX,ESP 00F840F8 56 PUSH ESI 00F840F9 BE 04000000 MOV ESI,4 00F840FE 01F1 ADD ECX,ESI 00F84100 5E POP ESI 00F84101 52 PUSH EDX 00F84102 68 C758634B PUSH 4B6358C7 00F84107 8B1424 MOV EDX,DWORD PTR SS:[ESP] 00F8410A 83C4 04 ADD ESP,4 00F8410D 81F2 C358634B XOR EDX,4B6358C3 00F84113 81E9 C5006E61 SUB ECX,616E00C5 00F84119 29D1 SUB ECX,EDX 00F8411B 81C1 C5006E61 ADD ECX,616E00C5 00F84121 FF3424 PUSH DWORD PTR SS:[ESP] 00F84124 8B1424 MOV EDX,DWORD PTR SS:[ESP] 00F84127 81C4 04000000 ADD ESP,4 00F8412D 55 PUSH EBP 00F8412E 89E5 MOV EBP,ESP 00F84130 81C5 04000000 ADD EBP,4 00F84136 57 PUSH EDI 00F84137 BF 04000000 MOV EDI,4 00F8413C 01FD ADD EBP,EDI 00F8413E 5F POP EDI 00F8413F 872C24 XCHG DWORD PTR SS:[ESP],EBP 00F84142 5C POP ESP 00F84143 330C24 XOR ECX,DWORD PTR SS:[ESP] 00F84146 310C24 XOR DWORD PTR SS:[ESP],ECX 00F84149 330C24 XOR ECX,DWORD PTR SS:[ESP] 00F8414C 8B2424 MOV ESP,DWORD PTR SS:[ESP] 00F8414F 890C24 MOV DWORD PTR SS:[ESP],ECX 00F84152 68 BD530000 PUSH 53BD 00F84157 891424 MOV DWORD PTR SS:[ESP],EDX 00F8415A 53 PUSH EBX 00F8415B 81EC 04000000 SUB ESP,4 00F84161 892424 MOV DWORD PTR SS:[ESP],ESP 00F84164 830424 04 ADD DWORD PTR SS:[ESP],4 00F84168 5B POP EBX 00F84169 50 PUSH EAX 00F8416A 53 PUSH EBX 00F8416B BB 9D6B733C MOV EBX,3C736B9D 00F84170 81EB 8C1000F2 SUB EBX,F200108C 00F84176 57 PUSH EDI 00F84177 BF 01000000 MOV EDI,1 00F8417C 29FB SUB EBX,EDI 00F8417E 5F POP EDI 00F8417F 81EB FFFFFFFF SUB EBX,-1 00F84185 50 PUSH EAX 00F84186 B8 FC288753 MOV EAX,538728FC 00F8418B 05 A15C9B31 ADD EAX,319B5CA1 00F84190 25 330D5970 AND EAX,70590D33 00F84195 2D F906EA4A SUB EAX,4AEA06F9 00F8419A 48 DEC EAX 00F8419B 0D 7909B403 OR EAX,3B40979 00F841A0 2D 24A2D864 SUB EAX,64D8A224 00F841A5 05 FECB21F9 ADD EAX,F921CBFE 00F841AA 29C3 SUB EBX,EAX 00F841AC 58 POP EAX 00F841AD 51 PUSH ECX 00F841AE B9 5D24BB7F MOV ECX,7FBB245D 00F841B3 F7D1 NOT ECX 00F841B5 C1E9 03 SHR ECX,3 00F841B8 81C1 17A1DD59 ADD ECX,59DDA117 00F841BE 09CB OR EBX,ECX 00F841C0 59 POP ECX 00F841C1 81EB 15659423 SUB EBX,23946515 00F841C7 81EB A2D861DC SUB EBX,DC61D8A2 00F841CD 53 PUSH EBX 00F841CE 812C24 2D349F4C SUB DWORD PTR SS:[ESP],4C9F342D 00F841D5 58 POP EAX 00F841D6 05 2D349F4C ADD EAX,4C9F342D 00F841DB 5B POP EBX 00F841DC 01C3 ADD EBX,EAX 00F841DE 58 POP EAX 00F841DF 81EB 04000000 SUB EBX,4 2013-10-6 22:18 0
网络游侠雪币： 0 活跃值： (984) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 972 粉丝 15 关注私信	网络游侠 5 楼这是美服12天吧，花中夹带着算法！ 2013-10-7 08:28 0
lovecnet 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	lovecnet 6 楼完全看不懂，但是可以肯定，这是汇编 2013-10-7 09:27 0
老伙计雪币： 805 活跃值： (2698) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 608 粉丝 11 关注私信	老伙计 7 楼楼主的概念有误，你标出的代码基本上都不是花指令，所谓花指令一定是通过跳转指令和垃圾指令配合达到扰乱反汇编代码的效果。而在花指令体系中，垃圾指令一定是不会被执行的指令。 2013-10-7 12:10 0
yishenbiao 雪币： 15 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 11 回帖 27 粉丝 0 关注私信	yishenbiao 8 楼多谢前辈指正。相如这种代码，用什么方法分析啊？就是慢慢跟？很长的。后面还有很多JMP。 2013-10-7 12:20 0
老伙计雪币： 805 活跃值： (2698) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 608 粉丝 11 关注私信	老伙计 9 楼楼主根据什么判断是VM，假如真的是VM，那么会有很强的反调试，不会让你如此轻松跟踪。再说，如果是虚拟机引擎，应该通过switch...case判断操作指令，然后执行相应的指令块。顺便给你泼点冷水，玩破解一定是独行侠，做别人没有做过的，想别人没有想到的，感觉你没有很强烈的内在动力，没有足够的信心和勇气，也缺少起码的经验，至少目前还不适合做破解。 2013-10-7 12:33 0
yayayxkf 雪币： 256 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 86 粉丝 0 关注私信	yayayxkf 10 楼把一小段代码进行变形乱序处理之后就是你贴出来这种代码了,这个不是VM 2013-10-8 00:06 0
SdKfz 雪币： 1 活跃值： (1174) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 2 关注私信	SdKfz 11 楼象TMD/CV的VM引擎 2013-10-8 18:24 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 12 楼变异非vm 2013-10-8 18:33 0
Riverhac 雪币： 232 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 65 粉丝 0 关注私信	Riverhac 13 楼不是ＶＭ 2013-10-8 19:07 0
萌克力雪币： 433 活跃值： (2130) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 613 粉丝 33 关注私信	萌克力 14 楼不是vm vm是不停不停的jmp 2013-10-8 19:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复