x64逆向某游戏线程检测 (二)
成都创新互联公司自2013年创立以来,先为五通桥等服务建站,五通桥等地企业,进行企业商务咨询服务。为五通桥企业网站制作PC+手机+微官网三网同步一站式服务解决您的所有建站问题。申明
以下是我对某个游戏的检测线程比较感兴趣进行一定分析,切勿用于非法行为,所产生后果自行承担,本人不负任何责任。
继续追上次函数
//mov rax,[rsi] //rsi指向一个类
//lea rdx,[rsp+38] //取的是te32堆栈地址 得到线程的相关信息
//mov rcx,rsi //把rsi的地址传给rcx
// call [rax] //rax是一个函数地址值
//这个函数传了二个值 第一个是rsi指向类的值,第二个传的是te32
//做一些线程特征等检测
上次要逆向这个函数里面内容
定位逆向汇编代码
//mov rax,[rsi] //rsi指向一个类
//lea rdx,[rsp+38] //取的是te32堆栈地址 得到线程的相关信息
//mov rcx,rsi //把rsi的地址传给rcx
// call [rax] //rax是一个函数地址值
//这个函数传了二个值 第一个是rsi指向类的值,第二个传的是te32
//做一些线程特征等检测
进入到这个call里面
call [rax] 函数内容为:
mov eax,1040
call 1C31D481000函数内容为:
这是检测堆栈是否超界。GS:[10]—>TEB: 0x10 StackLimit;
总结
第一个图是对整个线程的一个检测,分析了call 1C31D481000 下一个分析CALL qword ptr ds: [RAX+10]这个函数里面做了什么?
你是否还在寻找稳定的海外服务器提供商?创新互联www.cdcxhl.cn海外机房具备T级流量清洗系统配攻击溯源,准确流量调度确保服务器高可用性,企业级服务器适合批量采购,新人活动首月15元起,快前往官网查看详情吧
网站题目:win10x64逆向某游戏线程检测(二)-创新互联
URL网址:
http://www.cdkjz.cn/article/cdiioj.html
