21.07.2009, 10:21
|
|
Постоянный
Регистрация: 19.10.2007
Сообщений: 794
Провел на форуме:
1013791
Репутация:
711
|
|
делал так: ставил memory breakpoint на секцию с vm и когда сработало, посмотрел откуда был переход.
upd:
Код:
.text:00408959 call dword ptr [eax+88h] ; check
.text:0040895F test al, al
.text:00408961 jz loc_408C2C
.text:00408967 mov ecx, [ebp+0ED60h]
.text:0040896D mov [esp+0ECh+var_64], ebx
.text:00408974 lea edx, [esp+0ECh+var_64]
.text:0040897B mov eax, [ecx]
.text:0040897D push edx
.text:0040897E call dword ptr [eax+88h] ; save to registry
.text:00408984 test al, al
.text:00408986 jz loc_408BDD
предлагаю также обратить внимание на данный участок кода, может оказаться весьма важным при взломе
Последний раз редактировалось neprovad; 21.07.2009 в 10:28..
|
|
|