我喜欢每天都有新东西
我的大老婆和小老婆
2004/07/17 06:50 | by
by EvilOctal
太tmd困了 写完一定睡觉去
1 以下多见与Delphi中 因为Delphi习惯于将eax和edx做为子程序参数传递寄存器
mov eax []地址或者寄存器
mov edx []同上 重要信息经常隐藏在这里
call 00??????
test eax eax
jz(jnz)
或
mov eax []地址或者寄存器
mov edx []同上 重要信息经常隐藏在这里
call 00??????
je(jne)
或
mov eax []地址或者寄存器
mov edx []同上 重要信息经常隐藏在这里
call 00??????
setz(setnz) al (bl,cl…)
或
mov eax []地址或者寄存器
mov edx []同上 重要信息经常隐藏在这里
call 00??????
setz(setnz) bl,cl…
2 多见于字符串比较
mov eax[]
mov edx[]
cmp eax,edx
jnz(jz)
或
mov al[]
mov cl[]
cmp al,cl
jnz(jz)
mov al[ +1]
mov cl[ +1]
cmp al,cl
jnz(jz)
cmp eax ecx(eax为计数器)
jnl begin
mov al 01
或
lea edi []
lea esi []
repz cmpsd
jz(jnz)
3
要了解堆栈 分析一下 如下比较特殊 关键call是第一个
call 00?????? ***
push eax(ebx,ecx…)
……
……
call 00??????
pop eax(ebx,ecx…)
test eax eax
jz(jnz)
太tmd困了 写完一定睡觉去
1 以下多见与Delphi中 因为Delphi习惯于将eax和edx做为子程序参数传递寄存器
mov eax []地址或者寄存器
mov edx []同上 重要信息经常隐藏在这里
call 00??????
test eax eax
jz(jnz)
或
mov eax []地址或者寄存器
mov edx []同上 重要信息经常隐藏在这里
call 00??????
je(jne)
或
mov eax []地址或者寄存器
mov edx []同上 重要信息经常隐藏在这里
call 00??????
setz(setnz) al (bl,cl…)
或
mov eax []地址或者寄存器
mov edx []同上 重要信息经常隐藏在这里
call 00??????
setz(setnz) bl,cl…
2 多见于字符串比较
mov eax[]
mov edx[]
cmp eax,edx
jnz(jz)
或
mov al[]
mov cl[]
cmp al,cl
jnz(jz)
mov al[ +1]
mov cl[ +1]
cmp al,cl
jnz(jz)
cmp eax ecx(eax为计数器)
jnl begin
mov al 01
或
lea edi []
lea esi []
repz cmpsd
jz(jnz)
3
要了解堆栈 分析一下 如下比较特殊 关键call是第一个
call 00?????? ***
push eax(ebx,ecx…)
……
……
call 00??????
pop eax(ebx,ecx…)
test eax eax
jz(jnz)
