Контрразведка с soft-ice в руках

информация о четырех потоках, выданная OllyDbg


Стартовый адрес (entry) определен только для одного из потоков — 50Ch да и тот, вероятно, служит для связки отлаживаемого процесса с OllyDbg. Стартовые адреса остальных потоков выставлены в ноль, но ведь это же не так!!!

Щелкам мышью по потоку c идентификатором 558h (естественно, при следующем запуске программы, идентификаторы потоков будут другими) и получаем код следующего содержания, который (судя по карте памяти), принадлежит страничному имиджу, следовательно, это — легальный поток.

401000 55            PUSH EBP

401001 8B EC         MOV EBP,ESP

401003 B8 01000000   MOV EAX,1

401008 85C0          TEST EAX,EAX

40100A 74 02         JE SHORT va_threa.0040100E

40100C EB F5         JMP SHORT va_threa.00401003



Содержание раздела