YLLEN

在分析该样本时，遇到了栈帧破坏反静态分析技术，

看一个例子

1000EF8A 栈帧正常

push ebp

mov  ebp ,esp 

sub  esp , 0x44           这里主要是来构造字符串的

push  ebx

push esi

push edi                      正常

------------------------

call   sub_1684

retn

db 0c4H         

-------------------------

.....

后面

大致一看 esp 也没啥错呀 ！ 

进入 sub_1684 看看

原图片地址：

大致意思就是 这个call 进去之后 会修改esp的值 使其绕过垃圾代码

切片看一下...