恶意代码分析实战 18 64位18.1 Lab21-0118.2 Lab21-02
当你运行这个程序却没带任何参数,它会立即退出。main函数有三个参数入栈,分别是一个整数和两个指针。main函数位于0x00000001400010C0处。你可以通过寻找接受一个整数与两个指针作为输入参数的函数调用定位main函数。字符串oc1.exe存储在栈中。这里对字符串进行了检查,如果在不改变二进制程序文件名的前提下,让这个程序运行。为了不修改可执行程序的文件名就能让这个程序运行有效载荷,你需要修补在0x0000000140001213处的jump指令,将其替换为NOP指令。
