[原创]前两天看到表哥的VMP加密x64驱动导入表，今天刚好有需要，写了一个脚本遍历所有call自动重命名-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
wyfe 雪币： 2575 活跃值： (502) 能力值： ( LV6，RANK：85 ) 在线值：发帖 65 回帖 461 粉丝 0 关注私信	wyfe 2 楼这个得赞! 2019-3-12 21:22 0
sxpp 雪币： 231 活跃值： (2666) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 3 楼赞一个 2019-3-12 23:30 0
htpidk 雪币： 7805 活跃值： (4683) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 289 粉丝 1 关注私信	htpidk 4 楼顶一个，不错 2019-3-13 08:52 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 5 楼其实不一定是E8 ?? ?? ?? ?? CC的有些是push rxx(除了rsp之外的gpr都有可能)+call，同样的6字节，跟进去之后会立马把刚才push的rxx pop出来，然后再跳到vm区段所以我现在都是搜索所有的E8，判断前一个字节，然后模拟执行看看了 2019-3-13 10:11 0
半个大西瓜雪币： 1411 活跃值： (1067) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 35 粉丝 7 关注私信	半个大西瓜 6 楼 hzqst 其实不一定是E8 ?? ?? ?? ?? CC的有些是push rxx(除了rsp之外的gpr都有可能)+call，同样的6字节，跟进去之后会立马把刚才push的rxx pop出来，然后再跳到vm ... 实际是搜索所有E8，然后看看是不是call，再去判断是否系统函数，还会把E8 ?? ?? ?? ?? CC修复成E8 ?? ?? ?? ?? 90 2019-3-13 10:22 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 7 楼 wx_寻找清鸟实际是搜索所有E8，然后看看是不是call，再去判断是否系统函数，还会把E8 ?? ?? ?? ?? CC修复成E8 ?? ?? ?? ?? 90 修复成FF 15更省事吧 2019-3-13 10:32 0
nevinhappy 雪币： 1270 活跃值： (10957) 能力值： ( LV9，RANK：181 ) 在线值：发帖 29 回帖 499 粉丝 41 关注私信	nevinhappy 2 8 楼学习，文字少，货很干。 2019-3-13 11:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
wyfe 雪币： 2575 活跃值： (502) 能力值： ( LV6，RANK：85 ) 在线值：发帖 65 回帖 461 粉丝 0 关注私信	wyfe 2 楼这个得赞! 2019-3-12 21:22 0
sxpp 雪币： 231 活跃值： (2666) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 3 楼赞一个 2019-3-12 23:30 0
htpidk 雪币： 7805 活跃值： (4683) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 289 粉丝 1 关注私信	htpidk 4 楼顶一个，不错 2019-3-13 08:52 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 5 楼其实不一定是E8 ?? ?? ?? ?? CC的有些是push rxx(除了rsp之外的gpr都有可能)+call，同样的6字节，跟进去之后会立马把刚才push的rxx pop出来，然后再跳到vm区段所以我现在都是搜索所有的E8，判断前一个字节，然后模拟执行看看了 2019-3-13 10:11 0
半个大西瓜雪币： 1411 活跃值： (1067) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 35 粉丝 7 关注私信	半个大西瓜 6 楼 hzqst 其实不一定是E8 ?? ?? ?? ?? CC的有些是push rxx(除了rsp之外的gpr都有可能)+call，同样的6字节，跟进去之后会立马把刚才push的rxx pop出来，然后再跳到vm ... 实际是搜索所有E8，然后看看是不是call，再去判断是否系统函数，还会把E8 ?? ?? ?? ?? CC修复成E8 ?? ?? ?? ?? 90 2019-3-13 10:22 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 7 楼 wx_寻找清鸟实际是搜索所有E8，然后看看是不是call，再去判断是否系统函数，还会把E8 ?? ?? ?? ?? CC修复成E8 ?? ?? ?? ?? 90 修复成FF 15更省事吧 2019-3-13 10:32 0
nevinhappy 雪币： 1270 活跃值： (10957) 能力值： ( LV9，RANK：181 ) 在线值：发帖 29 回帖 499 粉丝 41 关注私信	nevinhappy 2 8 楼学习，文字少，货很干。 2019-3-13 11:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复