各种常见程序特征
VB:
push
call <jmp.&MSVBVM6.0.#100>
VC/E语言
离OEP不远处有SUB ESP,0X58
第一个CALL 调用为GetVersion
VS:
.release
call
jmp
.debug
先jmp
jmp后:
push ebp
mov ebp,esp
call
call
pop
BC++:
oep处有一个短跳,后面有一个字符串 fb:C++hook
Delphi7
oep附近比较紧凑的五个call
第一个call内有getModuleHandleA
在五个call后面全是0