我有一个问题需要回答。小工具:
pushad
ret
来自某个DLL在合法程序中毫无意义。假设DLL是合法的,那么如何通过自动搜索找到小工具?函数使用它的示例可能会有所帮助。谢谢。
指令编码为:
60 pushad
c3 ret
因此,无论这两个字节出现在哪里,都将获得pushad; ret小工具。例如,该指令可能合理地存在于SSE代码中:
66 0f 60 c3 punpcklbw xmm0, xmm3
看到60 c3小工具了吗?或者,小工具可以立即获得。例如,假设0x4800c360处有一些变量,我们尝试加载其地址:
b8 60 c3 00 48 mov eax, 0x4800c360
再次看到小工具?
[这个小工具还有很多其他方式可以以完全正常的代码显示。