04.01.2007, 02:05
|
|
Постоянный
Регистрация: 20.08.2006
Сообщений: 327
С нами:
10381346
Репутация:
1077
|
|
посл вот этой функции:
00401009 E8 02040000 CALL HidCreck.00401410
подгрузились новые библиотеки и я понял что нужна туды зайти
Код:
00401421 AC LODS BYTE PTR DS:[ESI]
00401422 3C FD CMP AL,0FD
00401424 77 33 JA SHORT HidCreck.00401459
00401426 74 2D JE SHORT HidCreck.00401455
00401428 88C4 MOV AH,AL
0040142A FF76 FF PUSH DWORD PTR DS:[ESI-1]
0040142D FF36 PUSH DWORD PTR DS:[ESI]
0040142F 57 PUSH EDI
00401430 E8 30FFFFFF CALL HidCreck.00401365
00401435 75 07 JNZ SHORT HidCreck.0040143E
00401437 50 PUSH EAX
00401438 57 PUSH EDI
00401439 E8 77FFFFFF CALL HidCreck.004013B5
0040143E 66:8338 8B CMP WORD PTR DS:[EAX],0FF8B
00401442 75 03 JNZ SHORT HidCreck.00401447
00401444 83C0 02 ADD EAX,2
00401447 83E8 04 SUB EAX,4
0040144A 29F0 SUB EAX,ESI
0040144C C646 FF E9 MOV BYTE PTR DS:[ESI-1],0E9
00401450 8906 MOV DWORD PTR DS:[ESI],EAX
00401452 AD LODS DWORD PTR DS:[ESI]
00401453 ^EB CC JMP SHORT HidCreck.00401421
Подгружает библиотеки и функции. Если бряк по середине поставить и жать f9 то в eax адреса функций. Просмотрел подгружаемыые апи пока ни чего подозрительного.
Последний раз редактировалось TAHA; 05.01.2007 в 12:30..
|
|
|