P-code伪编码,用od太麻烦,需用到WKTVBDebugger
方法1:
把cm放到wktv目录下面,打开,运行
机器码与命令:
BranchF: 机器码1C 类似jnz/jne 如果堆栈为0就跳
BranchT: 机器码1D 类似je/jz 如果堆栈为-1就跳
Branch: 机器码1E 类似jmp 无条件跳
单击‘高级信息’或‘Analize BranchX' 可看到当前进程所有跳转位置
EqVarBool: 机器码33 比较指令,根据结果将0或-1压入堆栈
ConcatStr: 机器码2A 字符串连接指令 ,此指令单步跟踪时会在日志窗口留下相应结果,可ctr+O在此处下断
LitI2_Byte: 机器码F4 将数据压入堆栈
FLdZeroAd/CVarStr:取字符串指令,特点同ConcatStr
[培训]科锐逆向工程师培训第53期2025年7月8日开班!
正好用上
