004F24D0 |> 8B01 /MOV EAX,DWORD PTR DS:[ECX] 这里是读取4字节 quit I_�B%�F#X)
$ ?- d5 u( J9 {6 v7 s* H( ^004F24D2 |. |BA FFFEFE7E |MOV EDX,7EFEFEFF 这里一块主要分析字符串是否已经到\\0/ [8 l. @ x9 P% e4 s8 z
004F24D7 |. |03D0 |ADD EDX,EAX
/ ~. h1 {" e, \8 M) l z* A& i7 Y004F24D9 |. |83F0 FF |XOR EAX,FFFFFFFF ( s L* |. j& I$ A
004F24DC |. |33C2 |XOR EAX,EDX 8 ^6 H/ l, B) B! f4 r
004F24DE |. |83C1 04 |ADD ECX,4 读取后面4个字节
# _7 e. p4 S/ h. i7 g004F24E1 |. |A9 00010181 |TEST EAX,81010100 5 j1 s# {( N% V% ]) z# |8 d
004F24E6 |.^ 74 E8 |JE SHORT Unpacked.004F24D0 如果是4个00(也就是81010100)就跳出 & {, U$ f' c0 g- K$ u; k* O9 `
& @& h5 J, c% l2 s4 I5 F7 j
这一段没看懂,7EFEFEFF 和\\0什么关系?
2 V4 b/ o, z( w4个00和81010100又是什么关系? |
发表于 2010-3-13 14:39
楼主
发表于 2010-6-16 15:12
