以下是我对某个游戏的检测线程比较感兴趣进行一定分析,切勿用于非法行为,所产生后果自行承担,本人不负任何责任。
继续追上次函数
//mov rax,[rsi] //rsi指向一个类
//lea rdx,[rsp+38] //取的是te32堆栈地址 得到线程的相关信息
//mov rcx,rsi //把rsi的地址传给rcx
// call [rax] //rax是一个函数地址值
//这个函数传了二个值 第一个是rsi指向类的值,第二个传的是te32
//做一些线程特征等检测 上次要逆向这个函数里面内容
定位逆向汇编代码//mov rax,[rsi] //rsi指向一个类
//lea rdx,[rsp+38] //取的是te32堆栈地址 得到线程的相关信息
//mov rcx,rsi //把rsi的地址传给rcx
// call [rax] //rax是一个函数地址值
//这个函数传了二个值 第一个是rsi指向类的值,第二个传的是te32
//做一些线程特征等检测 进入到这个call里面
call [rax] 函数内容为:
mov eax,1040
call 1C31D481000函数内容为:
这是检测堆栈是否超界。GS:[10]—>TEB: 0x10 StackLimit;
总结第一个图是对整个线程的一个检测,分析了call 1C31D481000 下一个分析CALL qword ptr ds: [RAX+10]这个函数里面做了什么?
你是否还在寻找稳定的海外服务器提供商?创新互联www.cdcxhl.cn海外机房具备T级流量清洗系统配攻击溯源,准确流量调度确保服务器高可用性,企业级服务器适合批量采购,新人活动首月15元起,快前往官网查看详情吧
