Recentemente, encontrei a seguinte sequência de instruções de montagem.
call ds: WSAStartuppush ecxpush edimov ecx, 69E65AC4hmov edi, 2776452Ahpop edipop ecxjmp short loc_ABCD
Por favor, ajude-me a entender estas 4 instruções específicas abaixo:
mov ecx, 69E65AC4hmov edi, 2776452Ahpop edipop ecx
Por que você moveria valores diretos para os registradores, apenas para sobrescrevê-los com as próximas 2 instruções?
ADICIONADO: Em relação aos comentários de Rolf Rolles e Peter Ferrie abaixo. Em primeiro lugar, obrigado, pessoal, por sua contribuição. Eu realmente gostei disso. O que mais me intriga e parece relativamente interessante é o fato de que o executável em questão parece estar limpo e livre de ofuscação de código de qualquer tipo. Quão relevante é uma quantidade tão pequena de ofuscação para fins de derrota AV? Eu diria que não é muito relevante.
Também descobri a postagem aqui no RE Qual é o propósito de 'mov edi, edi'? . O usuário RE QAZ na resposta aceita mencionou algo sobre o suporte de hot patching em tempo de execução. Poderia ser algo nesse sentido?