Ильфак сошел с ума!

Тема в разделе "WASM.RESEARCH", создана пользователем Rel, 16 апр 2020.

  1. Thetrik

    Thetrik UA6527P

    Публикаций:
    0
    Регистрация:
    25 июл 2011
    Сообщения:
    875
    Вот так должно быть:
    Код (ASM):
    1. .text:1001A5F0                             xlAutoOpen      proc near               ; DATA XREF: .rdata:off_100278B8↓o
    2. .text:1001A5F0
    3. .text:1001A5F0                             var_4           = byte ptr -4
    4. .text:1001A5F0
    5. .text:1001A5F0 000 55                                      push    ebp
    6. .text:1001A5F1 004 8B EC                                   mov     ebp, esp
    7. .text:1001A5F3 004 51                                      push    ecx
    8. .text:1001A5F4 008 8D 45 FC                                lea     eax, [ebp+var_4]
    9. .text:1001A5F7 008 BA 94 48 03 10                          mov     edx, offset aCreatethread ; "CreateThread"
    10. .text:1001A5FC 008 50                                      push    eax
    11. .text:1001A5FD 00C 6A 00                                   push    0
    12. .text:1001A5FF 010 6A 00                                   push    0
    13. .text:1001A601 014 68 70 A6 01 10                          push    offset sub_1001A670
    14. .text:1001A606 018 6A 00                                   push    0
    15. .text:1001A608 01C 6A 00                                   push    0
    16. .text:1001A60A 020 B9 01 00 00 00                          mov     ecx, 1
    17. .text:1001A60F 020 E8 9C FB FF FF                          call    sub_1001A1B0
    18. .text:1001A614 020 FF D0                                   call    eax
    19. .text:1001A616 008 6A FF                                   push    0FFFFFFFFh
    20. .text:1001A618 00C 50                                      push    eax
    21. .text:1001A619 010 BA 5C 48 03 10                          mov     edx, offset aWaitforsingleo ; "WaitForSingleObject"
    22. .text:1001A61E 010 B9 01 00 00 00                          mov     ecx, 1
    23. .text:1001A623 010 E8 88 FB FF FF                          call    sub_1001A1B0
    24. .text:1001A628 010 FF D0                                   call    eax
    25. .text:1001A62A 008 33 C0                                   xor     eax, eax
    26. .text:1001A62C 008 8B E5                                   mov     esp, ebp
    27. .text:1001A62E 004 5D                                      pop     ebp
    28. .text:1001A62F 000 C3                                      retn
    29. .text:1001A62F                             xlAutoOpen      endp
    30. .text:1001A62F
     
    algent, Rel и ormoulu нравится это.
  2. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    Thetrik, спасибо все заработало
    --- Сообщение объединено, 15 фев 2022 ---
    не было.

    умеет конечно.
     
    algent нравится это.
  3. algent

    algent Member

    Публикаций:
    0
    Регистрация:
    11 апр 2018
    Сообщения:
    101
    Thetrik, подскажите плз, по интерпретации: "push ecx" - двойного(даже тройного) назначения ?
    просто ну ... так красиво, что аж не верится...
     
  4. ormoulu

    ormoulu Well-Known Member

    Публикаций:
    0
    Регистрация:
    24 янв 2011
    Сообщения:
    1.208
  5. Thetrik

    Thetrik UA6527P

    Публикаций:
    0
    Регистрация:
    25 июл 2011
    Сообщения:
    875
    Это параметр lpThreadId, а именно сам ThreadId.
     
    algent нравится это.
  6. algent

    algent Member

    Публикаций:
    0
    Регистрация:
    11 апр 2018
    Сообщения:
    101
    Вот бы ещё понять логику косяка IDA ... хотя, едва ли это возможно.
     
    Последнее редактирование: 17 фев 2022