逆向反汇编基础之二十三:SEH(FS 0号)检测发现跟踪就悲剧

这个CM比较特别,加入了FS:[0]SEH检测OD跟踪的功能~

但是我们并不倡导跟踪和调试,要学会把握静态反汇编,所以这对我们无障碍

若真要跟踪,直接把SEH去掉便是~

/*****************************************************/

00401103   .  C705 08304000>mov     dword ptr [403008], 0040112C
0040110D   .  892D 04304000 mov     dword ptr [403004], ebp
00401113   .  68 00104000   push    00401000
00401118   .  64:FF35 00000>push    dword ptr fs:[0]
0040111F   .  8925 00304000 mov     dword ptr [403000], esp
00401125   .  64:8925 00000>mov     dword ptr fs:[0], esp
0040112C   .  64:8F05 00000>pop     dword ptr fs:[0]
00401133   .  83C4 04       add     esp, 4
00401136   .  C705 08304000>mov     dword ptr [403008], 0040116A
00401140   .  892D 04304000 mov     dword ptr [403004], ebp
00401146   .  68 00104000   push    00401000
0040114B   .  64:FF35 00000>push    dword ptr fs:[0]
00401152   .  8925 00304000 mov     dword ptr [403000], esp
00401158   .  64:8925 00000>mov     dword ptr fs:[0], esp
0040115F   .  33DB          xor     ebx, ebx
00401161   .  33D2          xor     edx, edx
00401163   .  B8 02000000   mov     eax, 2
00401168   .  F7F3          div     ebx
0040116A   .  64:8F05 00000>pop     dword ptr fs:[0]

/*****************************************************/

这个CM要注意,隐藏的规定Name长度

一组可以Key:

ShadowKong

b30101b8

http://dl.dbank.com/c0a5szasew

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注