今天这个很有意思的CM呵呵~
一看Link Tools 居然是2.多的~好老的程序 或者说是好老的编辑器~
有意思的还在跟踪上~
这个CM用静态DASM分析更好~
省得用OD乱跑把你自己搞乱`
入口是70000000呵呵~有意思~
下面一段CODE:
700012E7 . /EB 01 jmp short 700012EA
700012E9 |E8 db E8
700012EA > \E8 F50A0000 call <jmp.&KERNEL32.CreateThread> ; \CreateThread
700012EF . 90 nop
700012F0 . EB 01 jmp short 700012F3
700012F2 E8 db E8
700012F3 > 68 E8030000 push 3E8 ; /ControlID = 3E8 (1000.)
700012F8 . FF35 B8210070 push dword ptr [700021B8] ; |hWnd = NULL
700012FE . E8 470B0000 call <jmp.&USER32.GetDlgItem> ; \GetDlgItem
看到 db E8没~
那是CALL的机器码~
如果只是线性DASM的话准给忽悠了~
还好IDA和OD都是线性DASM和回归DASM结合的…
这个CM的另外一种解法是写入REGEDIT~
位置自己HEX CM找..
一组Key:
ShadowKong
4777-6646-7769