调试恶意软件时 IDA 中的奇怪指令

逆向工程 艾达 调试
2021-07-01 12:12:17

什么是mov edi, ds:RegCloseKey真正做到?

它是否调用RegCloseKey并且注册表已“关闭”?

整个函数看起来像 

call  ds:RegOpenKeyEXW    
test  eax,eax    
jnz   loc_12345    
push  push 300h    
lea   eax, [ebp-0C64h]
push  eax 
push  esi 
push  dword ptr [rbp-0C64h]
call  ds:RegEnumKeyW
mov   edi ds:RegCloseKey
2个回答

不,这意味着它正在存储地址供以后使用,该段之后是什么?我猜是“CALL EDI”之类的东西。

它肯定准备调用它,我们可以推测(为什么还要引用它?)。

RegCloseKey仅用于关闭注册表的打开句柄。它不会“关闭”注册表,正如您的问题似乎暗示的那样(无论如何对我来说)。它只是另一个句柄关闭函数,但适用于注册表句柄。来自任何注册表函数的那些 - RegOpenKey、RegCreateKeyEx 等。

其它你可能感兴趣的问题
上一篇尝试反转函数以从 HMAC 签名生成某些颜色字符串 - 反编译代码看起来正确,但我的结果不同 下一篇更改 IDA 的 Produce 文件的格式 -> Create ASM 文件