1
做練習從書惡意軟件之實踐分析(實驗室5-1)IDA代碼片斷,EAX搬進全局變量
全局變量dword_1008E5C4(第二圖片)應該包含操作系統版本,但是從我可以看到它應該始終設置爲0,因爲 xor eax, eax指令sub_10003695
我錯過了什麼嗎?
A
回答
2
的GetVersionEx功能有這樣的簽名:
BOOL WINAPI GetVersionEx(
_Inout_ LPOSVERSIONINFO lpVersionInfo
);
所以它返回一個OSVERSIONINFO結構(或OSVERSIONINFOEX,但在這裏,這是不相關)在一個局部變量在棧上(此處引用rel來EBP),該場dwPlatformId與
cmp [ebp+VersionInformation.dwPlatformId], 2
指令檢查。的2值確實表明
的操作系統是Windows 7,Windows Server 2008中,Windows Vista中,Windows Server 2003中,Windows XP或Windows 2000的
所以這些系統上的CMP套表示等於的ZERO?標誌。因爲ZERO?標誌現在設置和EAX仍然是零
setz al
套EAX到00000001 - 作爲返回值的子程序。
+0
哦,謝謝,現在我(大部分)都明白了。忘記al是eax的一部分:) 所以對GetVersionExA的調用用struct填充[ebp + VersionInformation]。猜猜我對被調用函數如何改變調用者局部變量的值有點困惑 – sakana
1
是的,setz指令,這臺的al基於它上面的比較結果的值(eax一部分)。
相關問題
- 1. Global.asax中,全局變量,並用代碼
- 2. 是否可以使用全局變量進行調試代碼
- 3. Python替代全局變量
- 4. 使用全局變量將全局變量遞歸到迭代
- 5. 替代全局變量/常量
- 6. 全局變量
- 7. 全局變量
- 8. 全局變量?
- 9. 全局變量
- 10. 全局變量
- 11. 全局變量
- 12. 全局變量
- 13. 全局變量
- 14. 如何刪除代碼中的全局可變變量?
- 15. 變量全局變量?
- 16. Python的全局變量縮進
- 17. 檢查彙編代碼MOV 0x8中(%EBX),%EAX MOV(%eax中),%EAX CMP%EAX(%EBX)
- 18. C#中的全局變量替代?
- 19. Codeigniter全局變量
- 20. 全局變量,C
- 21. Greasemonkey&全局變量
- 22. VBA全局變量
- 23. Ruby全局變量
- 24. 笨全局變量
- 25. 全局JSON變量
- 26. Rails全局變量
- 27. drupal全局變量
- 28. PHP全局變量
- 29. 全局變量jquery
- 30. 從全局變量
是的,你錯過了一些東西。 EAX不包含版本。 LEA加載數據所在的地址。當EAX被清除時,它只是將其清除爲一個返回值。 –