数据空间

摘要：00401519 $ BF 96124000 mov edi,KGM1Tal.00401296 ; 入口地址（重这段代码开始检查）0040151E . B9 00010000 mov ecx,0x100 ---------------------------------- 向下100字符 00401523 . B0 99 mov al,0x9900401525 . 34 55 xor al,0x55 ----------------------------------这时候eax = 0xcc了（int 3） 00401527 . F2:AE repne scas byte ptr es:[e 阅读全文

摘要：00406EF9 |. 64:A1 3000000>MOV EAX,DWORD PTR FS:[30]00406EFF |. 8B40 68 MOV EAX,DWORD PTR DS:[EAX+68]00406F02 |. 83E0 70 AND EAX,7000406F05 |. 85C0 TEST EAX,EAX这是典型的基于PEB.NtGlobalFlag 进行反调试的实例，通常程序没有被调试时，PEB成员NtGlobalFlag（偏移0x68）值为0，如果进程被调试通常值为0x70（下述标志被设置）： FLG_HEAP_ENABLE_TAIL_CHECK(0X10) FLG_HE 阅读全文