Assembly 功能存储器地址(ASM)
我用VB反编译器反编译了一个程序,它说我的目标函数(我想看到代码的那个)位于地址0x00617B70。因此,一旦我拆解了应用程序,我就会转到该内存地址,我看到:Assembly 功能存储器地址(ASM),assembly,vb6,x86,disassembly,Assembly,Vb6,X86,Disassembly,我用VB反编译器反编译了一个程序,它说我的目标函数(我想看到代码的那个)位于地址0x00617B70。因此,一旦我拆解了应用程序,我就会转到该内存地址,我看到: CALL 0861BBA1 ADD BYTE PTR [EAX], DH IN AL, 0 XOR AL, 0 ADD BYTE PTR [EAX], AL ADD BYTE PTR [EAX], AL ADD BYTE PTR [EAX], AL
CALL 0861BBA1
ADD BYTE PTR [EAX], DH
IN AL, 0
XOR AL, 0
ADD BYTE PTR [EAX], AL
ADD BYTE PTR [EAX], AL
ADD BYTE PTR [EAX], AL
SBB BYTE PTR [EAX], AL
ADD BYTE PTR [EAX], AL
ADD BYTE PTR [EAX], AL
SBB AL, 0
ADD BYTE PTR [EAX], AL
ADD BYTE PTR [EAX], AL
ADD AL, 0
ADD BYTE PTR [EAX], AL
ADD BYTE PTR [EAX], AL
OR AL, FF
ADD EAX, DWORD PTR [EAX]
JE 00617B99
ADD DWORD PTR [EAX], EAX
INSB
INC DWORD PTR [EBX]
ADD BYTE PTR [EAX-1], DH
ADD EAX, DWORD PTR [EAX]
AND BYTE PTR [EAX], AL
ADD BYTE PTR [EAX], AL
ADD BYTE PTR [EAX], AL
ADD EAX, 0
ADD BYTE PTR [EAX-1], AL
ADD DWORD PTR [EAX], EAX
INC ESP
INC DWORD PTR [EBX]
ADD BYTE PTR [EAX-1], BL
ADD AL, BYTE PTR [EAX]
XOR BH, BH
ADD AL, BYTE PTR [EAX]
ADC BH, BH
ADD AL, BYTE PTR [EAX]
INSB
OR AL, 0
OR BYTE PTR [EAX], CL
ADD BYTE PTR [ESI], AL
INC EAX
ADD BYTE PTR [EAX+71], AL
PUSHAD
--
SHL BYTE PTR [EAX-1], 1
PUSH ES
ADD AH, BH
ADC AL, 8
OR BYTE PTR [EAX], AL
MOV DWORD PTR [EAX+6E70AD00], EAX
--
SHL BYTE PTR [EAX-1], 1
POP ES
ADD AH, BH
ADC AL, 8
OR BYTE PTR [EAX], AL
MOV DWORD PTR [EDX+6C70AD00], EAX
JMP FAR FWORD PTR [EBX+6E]
PUSH EBP
MOV EBP, ESP
SUB ESP, 8
...more stuff here...
RETN
RETN知道我做错了什么吗?在我看来,您的主要错误是认为这应该是x86 CPU代码。相反,VB反编译器得到并显示的代码是一种中间机器字节码,它不是由CPU本身执行的,而是由中间解释器执行的。(如果您已经知道了,很抱歉,但是您的问题还不清楚。)这是JVM、.NET运行时等的主要方法。通过谷歌搜索列表中的一些单词(FStStrCopy、CBoolVarNull)会给出提示,这是特定于VB的P代码。而且它显然不会公开像“mov ebp,esp”或“retn”这样的指令;即使一个代码是这样解码的,这也将是显而易见的,而不是故意的结果。即使您知道某个东西有一个入口点,这个入口点也不是由CPU处理的,而是由P代码解释器处理的
因此,要解决这个问题,您应该确定在分析的二进制文件中使用p代码的确切位置以及本机代码的位置(如果应该)。如果您认为应该是本机代码,则说明您的分析方法和/或编译选项有问题。您可以显示可执行文件反汇编的相关部分吗?内存区域的反汇编几乎肯定是数据,因此不打算执行。反编译的代码也是。
add[eax],almov-ebp、espretn