21,459
社区成员
发帖
与我相关
我的任务
分享请师傅们帮我看一段dll反汇编代码,看能不能帮我分析一下此函数的参数及返回值,不胜感激!
10001832 90909090909090909090+ Align 16
10001840 GetEmbIconBitmap:
10001840 55 push ebp
10001841 8BEC mov ebp,esp
10001843 6AFF push FFFFFFFFh
10001845 6870350210 push L10023570
1000184A 64A100000000 mov eax,fs:[00000000h]
10001850 50 push eax
10001851 64892500000000 mov fs:[00000000h],esp
10001858 83EC0C sub esp,0000000Ch
1000185B 53 push ebx
1000185C 56 push esi
1000185D 57 push edi
1000185E 33DB xor ebx,ebx
10001860 8965F0 mov [ebp-10h],esp
10001863 C745E808570210 mov dword ptr [ebp-18h],L10025708
1000186A 895DEC mov [ebp-14h],ebx
1000186D 8B4508 mov eax,[ebp+08h]
10001870 8B7D0C mov edi,[ebp+0Ch]
10001873 895DFC mov [ebp-04h],ebx
10001876 50 push eax
10001877 8D4DE8 lea ecx,[ebp-18h]
1000187A C645FC01 mov byte ptr [ebp-04h],01h
1000187E 891F mov [edi],ebx
10001880 E84B260000 call SUB_L10003ED0
10001885 8D4DE8 lea ecx,[ebp-18h]
10001888 51 push ecx
10001889 E822FDFFFF call SUB_L100015B0
1000188E 8BF0 mov esi,eax
10001890 83C404 add esp,00000004h
10001893 3BF3 cmp esi,ebx
10001895 89750C mov [ebp+0Ch],esi
10001898 7403 jz L1000189D
1000189A FF4604 inc [esi+04h]
1000189D L1000189D:
1000189D 3BF3 cmp esi,ebx
1000189F C645FC02 mov byte ptr [ebp-04h],02h
100018A3 7409 jz L100018AE
100018A5 8BCE mov ecx,esi
100018A7 E8F4330000 call SUB_L10004CA0
100018AC 8907 mov [edi],eax
100018AE L100018AE:
100018AE 3BF3 cmp esi,ebx
100018B0 C645FC01 mov byte ptr [ebp-04h],01h
100018B4 7415 jz L100018CB
100018B6 8B4E04 mov ecx,[esi+04h]
100018B9 49 dec ecx
100018BA 8BC1 mov eax,ecx
100018BC 3BC3 cmp eax,ebx
100018BE 894E04 mov [esi+04h],ecx
100018C1 7508 jnz L100018CB
100018C3 8B16 mov edx,[esi]
100018C5 6A01 push 00000001h
100018C7 8BCE mov ecx,esi
100018C9 FF12 call [edx]
100018CB L100018CB:
100018CB 8D4DE8 lea ecx,[ebp-18h]
100018CE C745FCFFFFFFFF mov dword ptr [ebp-04h],FFFFFFFFh
100018D5 E8962D0000 call SUB_L10004670
100018DA 8B4DF4 mov ecx,[ebp-0Ch]
100018DD 5F pop edi
100018DE 5E pop esi
100018DF 64890D00000000 mov fs:[00000000h],ecx
100018E6 5B pop ebx
100018E7 8BE5 mov esp,ebp
100018E9 5D pop ebp
100018EA C3 retn
-------------------------------------------
10001840 GetEmbIconBitmap:
10001840 55 push ebp
10001841 8BEC mov ebp,esp
10001843 6AFF push FFFFFFFFh
10001845 6870350210 push L10023570
1000184A 64A100000000 mov eax,fs:[00000000h]
10001850 50 push eax
10001851 64892500000000 mov fs:[00000000h],esp
10001858 83EC0C sub esp,0000000Ch
1000185B 53 push ebx
1000185C 56 push esi
1000185D 57 push edi
1000185E 33DB xor ebx,ebx
10001860 8965F0 mov [ebp-10h],esp
10001863 C745E808570210 mov dword ptr [ebp-18h],L10025708
1000186A 895DEC mov [ebp-14h],ebx
1000186D 8B4508 mov eax,[ebp+08h]
10001870 8B7D0C mov edi,[ebp+0Ch]
10001873 895DFC mov [ebp-04h],ebx
10001876 50 push eax
10001877 8D4DE8 lea ecx,[ebp-18h]
1000187A C645FC01 mov byte ptr [ebp-04h],01h
1000187E 891F mov [edi],ebx
10001880 E84B260000 call SUB_L10003ED0
10001885 8D4DE8 lea ecx,[ebp-18h]
10001888 51 push ecx
10001889 E822FDFFFF call SUB_L100015B0
1000188E 8BF0 mov esi,eax
10001890 83C404 add esp,00000004h
10001893 3BF3 cmp esi,ebx
10001895 89750C mov [ebp+0Ch],esi
10001898 7403 jz L1000189D
1000189A FF4604 inc [esi+04h]
1000189D L1000189D:
1000189D 3BF3 cmp esi,ebx
1000189F C645FC02 mov byte ptr [ebp-04h],02h
100018A3 7409 jz L100018AE
100018A5 8BCE mov ecx,esi
100018A7 E8F4330000 call SUB_L10004CA0
100018AC 8907 mov [edi],eax
100018AE L100018AE:
100018AE 3BF3 cmp esi,ebx
100018B0 C645FC01 mov byte ptr [ebp-04h],01h
100018B4 7415 jz L100018CB
100018B6 8B4E04 mov ecx,[esi+04h]
100018B9 49 dec ecx
100018BA 8BC1 mov eax,ecx
100018BC 3BC3 cmp eax,ebx
100018BE 894E04 mov [esi+04h],ecx
100018C1 7508 jnz L100018CB
100018C3 8B16 mov edx,[esi]
100018C5 6A01 push 00000001h
100018C7 8BCE mov ecx,esi
100018C9 FF12 call [edx]
100018CB L100018CB:
100018CB 8D4DE8 lea ecx,[ebp-18h]
100018CE C745FCFFFFFFFF mov dword ptr [ebp-04h],FFFFFFFFh
100018D5 E8962D0000 call SUB_L10004670
100018DA 8B4DF4 mov ecx,[ebp-0Ch]
100018DD 5F pop edi
100018DE 5E pop esi
100018DF 64890D00000000 mov fs:[00000000h],ecx
100018E6 5B pop ebx
100018E7 8BE5 mov esp,ebp
100018E9 5D pop ebp
100018EA C3 retn
-------------------------------------------
...全文
请发表友善的回复…
发表回复
lyramilk 2011-05-03
- 打赏
- 举报
有两个参数。第二个参数是个输出。第一个参数不知道啥。
jdbca 2011-04-30
- 打赏
- 举报
大师们留个邮箱,我发给你们。贴进去太麻烦,call进又是一堆。
gangyilovevc 2011-04-29
- 打赏
- 举报
你怎么反的?
先用IDA 看看 你这看的太费劲了。。。
先用IDA 看看 你这看的太费劲了。。。
yhshion_yhshion 2011-04-29
- 打赏
- 举报
孬好,把那几个call跟进去看一下,还有如果调用系统的函数,能不能注释一下,这算啥
大熊猫侯佩 2011-04-28
- 打赏
- 举报
拿不准的话,动态调试。
jdbca 2011-04-28
- 打赏
- 举报
[Quote=引用 7 楼 mydo 的回复:]
拿不准的话,动态调试。
[/Quote]
把文件发给你,能不能帮忙弄一下?
拿不准的话,动态调试。
[/Quote]
把文件发给你,能不能帮忙弄一下?
aiwnx 2011-04-27
- 打赏
- 举报
我说的是最直接的办法了,除非你有操作系统的源码~
工作量大不大在于你对explorer.exe的机制及调试器的了解程度,没有什么是免费的午餐的。
工作量大不大在于你对explorer.exe的机制及调试器的了解程度,没有什么是免费的午餐的。
jdbca 2011-04-27
- 打赏
- 举报
[Quote=引用 4 楼 aiwnx 的回复:]
引用 2 楼 jdbca 的回复:
补充一下,函数好像是提取文件中的缩略图的,就是让explorer的文件夹中显示缩略图的。看能不能提供点线索。
提取文件夹中的缩略图?用调试器调试一下explorer.exe这个进程就可以了嘛,最主要是找到缩略图在内存中存放的位置,再写成文件存储下来就可以了
[/Quote]
如果要提很多那工作量太大了。
引用 2 楼 jdbca 的回复:
补充一下,函数好像是提取文件中的缩略图的,就是让explorer的文件夹中显示缩略图的。看能不能提供点线索。
提取文件夹中的缩略图?用调试器调试一下explorer.exe这个进程就可以了嘛,最主要是找到缩略图在内存中存放的位置,再写成文件存储下来就可以了
[/Quote]
如果要提很多那工作量太大了。
aiwnx 2011-04-27
- 打赏
- 举报
[Quote=引用 2 楼 jdbca 的回复:]
补充一下,函数好像是提取文件中的缩略图的,就是让explorer的文件夹中显示缩略图的。看能不能提供点线索。
[/Quote]
提取文件夹中的缩略图?用调试器调试一下explorer.exe这个进程就可以了嘛,最主要是找到缩略图在内存中存放的位置,再写成文件存储下来就可以了
补充一下,函数好像是提取文件中的缩略图的,就是让explorer的文件夹中显示缩略图的。看能不能提供点线索。
[/Quote]
提取文件夹中的缩略图?用调试器调试一下explorer.exe这个进程就可以了嘛,最主要是找到缩略图在内存中存放的位置,再写成文件存储下来就可以了
shijikalo 2011-04-26
- 打赏
- 举报
我再研究研究,再说!
jdbca 2011-04-26
- 打赏
- 举报
补充一下,函数好像是提取文件中的缩略图的,就是让explorer的文件夹中显示缩略图的。看能不能提供点线索。
aiwnx 2011-04-26
- 打赏
- 举报
大致看了下,参数比较明显,应该是两个: [ebp+08h]和[ebp+0Ch]
1000186D 8B4508 mov eax,[ebp+08h]
10001870 8B7D0C mov edi,[ebp+0Ch]
返回值不太明显,貌似是eax
1000186D 8B4508 mov eax,[ebp+08h]
10001870 8B7D0C mov edi,[ebp+0Ch]
返回值不太明显,貌似是eax
