004F24D0 |> 8B01 /MOV EAX,DWORD PTR DS:[ECX] 这里是读取4字节 quit I_�B%�F#X)
$ t" d) \7 s5 {& w7 ^* W+ `004F24D2 |. |BA FFFEFE7E |MOV EDX,7EFEFEFF 这里一块主要分析字符串是否已经到\\04 [2 }5 A( R$ L# S" }4 Q
004F24D7 |. |03D0 |ADD EDX,EAX
( V+ d# S! H( C& ?, H, B004F24D9 |. |83F0 FF |XOR EAX,FFFFFFFF
: q/ Z3 x/ s8 }& Y# A, @004F24DC |. |33C2 |XOR EAX,EDX
8 Y* } H* _+ B. X6 P2 H/ Q. V( f, h004F24DE |. |83C1 04 |ADD ECX,4 读取后面4个字节
6 m L3 j$ [- B' W$ j3 o. m( o004F24E1 |. |A9 00010181 |TEST EAX,81010100 ; ] `+ ^7 m @! Y: c! T. E" m
004F24E6 |.^ 74 E8 |JE SHORT Unpacked.004F24D0 如果是4个00(也就是81010100)就跳出
- Q% ^( `3 D3 g8 ]( e2 g3 j( a
B* h* {4 c( U9 h+ t这一段没看懂,7EFEFEFF 和\\0什么关系?
2 A1 S( b7 c+ c2 I9 u: ^- ~4个00和81010100又是什么关系? |
发表于 2010-3-13 14:39
楼主
发表于 2010-6-16 15:12
