004F24D0 |> 8B01 /MOV EAX,DWORD PTR DS:[ECX] 这里是读取4字节 quit I_�B%�F#X)
; V$ I" s: c6 Y7 P3 ^0 {$ `3 T* ?004F24D2 |. |BA FFFEFE7E |MOV EDX,7EFEFEFF 这里一块主要分析字符串是否已经到\\0
; |: b- h' o! [, k- @) V) P004F24D7 |. |03D0 |ADD EDX,EAX
1 ]3 h0 S7 p O/ l. M% @& g; K004F24D9 |. |83F0 FF |XOR EAX,FFFFFFFF ( L! U* O+ T( z4 X2 ^: `* \! J. _
004F24DC |. |33C2 |XOR EAX,EDX
" Z, X5 b" s# G; g1 Y3 _004F24DE |. |83C1 04 |ADD ECX,4 读取后面4个字节
6 G5 s. s. L6 \$ i6 P004F24E1 |. |A9 00010181 |TEST EAX,81010100
: {# R, A. K" @; W# [2 ^ l004F24E6 |.^ 74 E8 |JE SHORT Unpacked.004F24D0 如果是4个00(也就是81010100)就跳出
5 X/ K/ E, S! |' |3 h
. f0 }8 x! J7 B* u+ N这一段没看懂,7EFEFEFF 和\\0什么关系?
$ l+ u& ^) o/ i( B+ a2 v* n. y2 Q. v4个00和81010100又是什么关系? |
发表于 2010-3-13 14:39
楼主
发表于 2010-6-16 15:12
