第二种情况,有SIB寻址模式
根据上面找到的地址,发现是 ”,说明有SIB表
SIB结构如下:
以一个随机命令为例:
Jmp dword ptr ds:这个命令是跳转到不同的Handle块执行
Jmp,它的Opcode是FF,所以对应的VMOpcode=0xC
我们是else if
4.历史遗留问题
1)如何使用所有保存的struct _拆装函数和struct_VmFunctionAddr将在后面揭示
2)其中2)v530被赋值:
3)魔法==2符合条件
参考数据
1.名称:谈谈vmp的恢复
网站:https://bbs.pediy.com/thread-225278.htm
2.名称:操作码汇编指令快速启动
网站:https://bbs.pediy.com/thread-113402.htm
3.名称:X86指令编码内部-指令操作码
网站:https://blog.csdn.net/xfcyhuang/article/details/6230542
见雪ID:黑手鱼
https://bbs.pediy.com/user-585205.htm
﹀
﹀
﹀
1.《VMP VMP学习笔记之反汇编引擎学习》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。
2.《VMP VMP学习笔记之反汇编引擎学习》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。
3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/guonei/1686255.html