Faire des exercices du livre Pratical Malware Analysis (Laboratoire 5-1)extrait de code IDA, eax déplacé dans la variable globale
La dword_1008E5C4
variable globale (2ème photo) est censé contenir la version du système d'exploitation, mais de ce que je peux voir, il devrait toujours être mis à 0 en raison de l'instruction xor eax, eax
sub_10003695
Ai-je raté quelque chose?
Oui, il vous manque quelque chose. EAX ne contient pas la version. Le LEA charge l'adresse de l'endroit où se trouvent ces données. Lorsque EAX est effacé, il l'efface simplement en tant que valeur de retour. –